Brittisk hackare som slog till mot Obama och Musks Twitter-konton uppmanas att betala tillbaka 5,4 miljoner dollar i Bitcoin

I juli 2020 höll den digitala världen andan när ett av sociala mediers största säkerhetsintrång utspelade sig i realtid.

Joseph James O'Connor, en Liverpool-född hackare som verkar under aliaset "PlugwalkJoe", orkestrerade en häpnadsväckande attack på Twitter som komprometterade mer än 130 högprofilerade konton på några minuter.

Måltavlorna kan läsas som en vem som är vem när det gäller global makt och inflytande: Barack Obama, Joe Biden, Elon Musk, Bill Gates, Jeff Bezos och till och med Apple och Uber.

Med hjälp av inget annat än social ingenjörskonst och en falsk Bitcoin-giveaway lyckades O'Connor och hans medkonspiratörer lura tusentals intet ont anande Twitter-användare att skicka kryptovaluta till plånböcker som de kontrollerade.

Bedrägeriet var anmärkningsvärt enkelt men ändå förödande effektivt. De falska tweetsen lovade att fördubbla alla Bitcoin som skickades till specifika adresser, inramade som välgörenhets- eller COVID-19-hjälpinsatser.

Inom några timmar hade hackarna stulit ungefär 794 000 dollar i kryptovaluta innan Twitter lyckades återta kontrollen över kontona.

Nu, fem år senare, ser de brittiska myndigheterna till att O'Connor betalar priset på mer än ett sätt.

Hur en social ingenjör överlistade Twitters försvar

Twitter-hacket 2020 avslöjade en brist som nästan ingen visste fanns då: cirka 1 500 Twitter-anställda och partners hade tillgång till kraftfulla interna verktyg.

O'Connor och hans gäng bröt sig inte in med hjälp av elithackningstrick eller banbrytande bedrifter. De använde bara gammal hederlig social ingenjörskonst, i princip, och pratade sig förbi Twitters försvar.

De ringde upp en handfull Twitter-anställda, berättade en övertygande historia och fick dem att lämna över interna inloggningsuppgifter. Det var allt de behövde.

Med dessa referenser hade gruppen plötsligt tillgång till Twitters admin-instrumentpanel, i stort sett huvudkontrollpanelen. Väl inne var saker som att återställa lösenord eller kringgå tvåfaktorsautentisering enkla.

Vid den tidpunkten kan de helt enkelt byta ut e-postadresser som är knutna till högprofilerade konton och utlösa lösenordsåterställningar. Det gav dem full kontroll över några av de mest inflytelserika kontona på planeten.

O'Connor greps senare i Spanien i juli 2021 och utlämnades till USA. Han erkände sig skyldig till flera åtalspunkter, bland annat datorintrång, bedrägeri, utpressning och penningtvätt.

I juni 2023 dömdes han till fem år i federalt fängelse.

Men straffet slutade inte med fängelse. Storbritanniens åklagarmyndighet säkrade nyligen ett civilrättsligt återvinningsbeslut som tvingar honom att lämna över 42 Bitcoin och andra kryptotillgångar, värda cirka 4,1 miljoner pund (cirka 5,4 miljoner dollar).

En domstolsutsedd förvaltare kommer nu att sälja av dessa tillgångar och se till att O'Connor inte går därifrån med ett enda pund från det han stal.

Ett globalt budskap: Cyberbrottslingar kan inte gömma sig

Det som verkligen sticker ut i det här fallet är vad det säger om hur länder nu arbetar tillsammans för att slå ner på cyberbrottsligheten.

O'Connor dömdes inte ens i Storbritannien, brotten och anklagelserna hanterades alla i USA. Men de brittiska myndigheterna kunde fortfarande komma åt hans tillgångar med hjälp av sina civila återvinningsbefogenheter.

Det här fallet visar hur nära olika länder arbetar tillsammans för att spåra digitala brottslingar, särskilt de som flyttar pengar via kryptovaluta.

Storbritannien samarbetade med amerikanska och spanska utredare för att stoppa O'Connor från att flytta eller gömma sin krypto innan domstolsbeslutet gick igenom.

Det är ett av de största kryptorelaterade beslagen i Storbritanniens cyberbrottshistoria, och det skickar ett ganska tydligt budskap: eran av att genomföra onlinebedrägerier på flera miljoner dollar och gå därifrån oberörd försvinner snabbt.

Brottsbekämpande myndigheter över gränserna blir smartare, mer uppkopplade och mycket mer aggressiva när det gäller att följa pengarna, oavsett vart de reser.