Britisk hacker som traff Obama og Musks Twitter-kontoer bedt om å betale tilbake 5,4 millioner dollar i Bitcoin

I juli 2020 holdt den digitale verden pusten da et av sosiale mediers største sikkerhetsbrudd utspilte seg i sanntid.

Joseph James O'Connor, en Liverpool-født hacker som opererer under aliaset «PlugwalkJoe», orkestrerte et fantastisk angrep på Twitter som kompromitterte mer enn 130 høyprofilerte kontoer i løpet av få minutter.

Målene kan leses som en hvem som er hvem av global makt og innflytelse: Barack Obama, Joe Biden, Elon Musk, Bill Gates, Jeff Bezos, og til og med Apple og Uber.

Ved å bruke ingenting mer enn sosial manipulering og en falsk Bitcoin-giveaway, klarte O'Connor og hans medsammensvorne å lure tusenvis av intetanende Twitter-brukere til å sende kryptovaluta til lommebøker de kontrollerte.

Svindelen var bemerkelsesverdig enkel, men likevel ødeleggende effektiv. De falske tweetene lovet å doble alle Bitcoin som sendes til spesifikke adresser, innrammet som veldedighet eller COVID-19-hjelpearbeid.

I løpet av timer hadde hackerne stjålet omtrent 794 000 dollar i kryptovaluta før Twitter klarte å gjenvinne kontrollen over kontoene.

Nå, fem år senere, sørger britiske myndigheter for at O'Connor betaler prisen på mer enn én måte.

Hvordan en sosial ingeniør overlistet Twitters forsvar

Twitter-hacket i 2020 avslørte en feil nesten ingen visste eksisterte den gang: rundt 1,500 Twitter-ansatte og partnere hadde tilgang til kraftige interne verktøy.

O'Connor og mannskapet hans brøt seg ikke inn ved hjelp av elitehacking-triks eller banebrytende bedrifter. De brukte bare god gammeldags sosial ingeniørkunst, i utgangspunktet, og snakket seg forbi Twitters forsvar.

De ringte en håndfull Twitter-ansatte, fortalte en overbevisende historie og fikk dem til å overlevere intern påloggingsinformasjon. Det var alt de trengte.

Med denne legitimasjonen hadde gruppen plutselig tilgang til Twitters admin-dashbord, stort sett hovedkontrollpanelet. Når du først var inne, var ting som å tilbakestille passord eller omgå tofaktorautentisering uanstrengt.

På det tidspunktet kunne de ganske enkelt bytte ut e-postadresser knyttet til høyprofilerte kontoer og utløse tilbakestilling av passord. Det ga dem full kontroll over noen av de mest innflytelsesrike kontoene på planeten.

O'Connor ble senere arrestert i Spania i juli 2021 og utlevert til USA. Han erkjente seg skyldig i flere anklager, inkludert datainntrengning, banksvindel, utpressing og hvitvasking av penger.

I juni 2023 ble han dømt til fem år i føderalt fengsel.

Men straffen hans stoppet ikke med fengselsstraffen. Storbritannias Crown Prosecution Service sikret nylig en sivil gjenopprettingsordre som tvang ham til å overlevere 42 Bitcoin og andre kryptoaktiva, verdt rundt 4,1 millioner pund (omtrent 5,4 millioner dollar).

En rettsoppnevnt bobestyrer vil nå selge disse eiendelene, og sørge for at O'Connor ikke stikker av med et eneste pund fra det han stjal.

Et globalt budskap: Nettkriminelle kan ikke gjemme seg

Det som virkelig skiller seg ut i denne saken er hva den sier om hvordan land nå jobber sammen for å slå ned på nettkriminalitet.

O'Connor ble ikke engang dømt i Storbritannia; forbrytelsene og anklagene ble alle håndtert i USA. Men britiske myndigheter var fortsatt i stand til å gå etter eiendelene hans ved å bruke sine sivile inndrivelsesfullmakter.

Denne saken viser hvor tett forskjellige land jobber sammen for å spore digitale kriminelle, spesielt de som flytter penger gjennom kryptovaluta.

Storbritannia slo seg sammen med amerikanske og spanske etterforskere for å stoppe O'Connor fra å flytte eller skjule kryptoen sin før rettskjennelsen kom gjennom.

Det er et av de største kryptorelaterte beslagene i britisk nettkriminalitetshistorie, og det sender et ganske klart budskap: epoken med å utføre nettsvindel på flere millioner dollar og gå uberørt derfra forsvinner raskt.

Rettshåndhevelse på tvers av landegrenser blir smartere, mer tilkoblet og langt mer aggressiv når det gjelder å følge pengene, uansett hvor de reiser.