PADA 15 JULI, seorang pengguna Perselisihan dengan gagang Kirk # 5270 mengajukan usul yang menarik. "Saya bekerja untuk Twitter," kata mereka, sesuai dengan dokumen pengadilan yang dirilis Jumat. "Saya dapat mengklaim nama apa pun, beri tahu saya jika Anda mencoba untuk bekerja." Itu adalah awal dari apa yang akan, beberapa jam kemudian, berubah menjadi retasan Twitter terbesar yang diketahui sepanjang masa. Sedikit lebih dari dua minggu kemudian, tiga orang telah dituntut sehubungan dengan pencurian akun milik Bill Gates, Elon Musk, Barack Obama, Apple, dan banyak lagi — bersama dengan hampir $ 120.000 dalam bitcoin.

Jumat sore, setelah penyelidikan yang mencakup FBI, IRS, dan Secret Service, Departemen Kehakiman mendakwa warga Inggris, Mason Sheppard dan Nima Fazeli, dari Orlando, Florida sehubungan dengan peretasan Twitter. Seorang remaja berusia 17 tahun, Graham Ivan Clark, didakwa secara terpisah dengan 30 tindak pidana berat di Hillsborough County, Florida, termasuk 17 tuduhan penipuan komunikasi. Bersama-sama, pengaduan kriminal yang diajukan dalam kasus-kasus tersebut memberikan potret terperinci tentang hari segalanya menjadi berantakan — dan betapa buruknya para tersangka penyerang menutupi jejak mereka. Ketiganya saat ini dalam tahanan.

Terlepas dari klaimnya pada pagi hari 15 Juli, Kirk # 5270 bukan karyawan Twitter. Namun, ia memiliki akses ke alat administrasi internal Twitter, yang ia pamerkan dengan berbagi tangkapan layar akun seperti "@bumblebee," "@sc," "@vague," dan "@ R9." (Pegangan pendek adalah target populer di kalangan komunitas peretasan tertentu.) Pengguna Perselisihan lain yang pergi dengan "sangat cemas # 0001" segera mulai mengantre pembeli; Kirk # 5270 membagikan alamat dompet Bitcoin tempat hasilnya dapat diarahkan. Penawaran termasuk $ 5.000 untuk "@xx," yang nantinya akan dikompromikan.

Pagi yang sama, seseorang yang menggunakan "Chaewon" di forum OGUsers mulai mengiklankan akses ke akun Twitter mana pun. Dalam sebuah posting berjudul "Menarik email untuk setiap Permintaan Twitter / Mengambil," Chaewon mencantumkan harga $ 250 untuk mengubah alamat email yang terkait dengan akun apa pun, dan hingga $ 3.000 untuk akses akun. Posting mengarahkan pengguna untuk "sangat cemas # 0001" pada Discord; selama tujuh jam, mulai sekitar 07:16 ET, akun "pernah sangat cemas # 0001" membahas pengambilalihan setidaknya 50 nama pengguna dengan Kirk # 5270, menurut dokumen pengadilan. Obrolan obrolan, "yang sangat cemas # 0001" mengatakan pegangan OGUnya adalah Chaewon, menunjukkan bahwa keduanya adalah individu yang sama.

Kirk # 5270 diduga menerima bantuan serupa dari pengguna Discord yang dibawa oleh Rolex # 0373, meskipun orang itu awalnya skeptis. "Kedengarannya terlalu bagus untuk menjadi kenyataan," tulisnya, menurut transkrip obrolan yang diperoleh penyelidik melalui surat perintah. Kemudian, untuk membantu mendukung klaimnya, Kirk # 5270 tampaknya telah mengubah alamat email yang dikaitkan dengan akun Twitter @foreign ke alamat email milik Rolex # 0373. Seperti Chaewon, Rolex # 0373 kemudian setuju untuk membantu transaksi broker pada OGUsers — di mana nama penggunanya adalah Rolex — dengan harga mulai $ 2.500 untuk nama-nama akun yang banyak dicari. Sebagai gantinya, Rolex harus menyimpan @foreign untuk dirinya sendiri.

Sekitar pukul 14:00 ET pada 15 Juli, setidaknya 10 akun Twitter telah dicuri, menurut pengaduan kriminal, tetapi para peretas masih tampak fokus pada gagang pendek atau diinginkan seperti @drug dan @xx dan @vampire, daripada selebriti dan teknologi. mogul. Dan pengambilalihan itu adalah akhir bagi diri mereka sendiri, bukan untuk melayani penipuan cryptocurrency. Kesepakatan yang ditengahi oleh Chaewon menjaring Kirk # 5270 sekitar $ 33.000 dalam bitcoin, menurut pengaduan kriminal; Chaewon menerima $ 7.000 lagi untuk perannya sebagai perantara.

FBI percaya bahwa Rolex adalah Fazeli, dan itu menuduhnya dengan satu hitungan membantu dan bersekongkol dengan akses yang disengaja dari komputer yang dilindungi. Mereka percaya Sheppard adalah Chaewon, yang dituduh berkonspirasi melakukan penipuan kawat, konspirasi melakukan pencucian uang, dan akses yang disengaja dari komputer yang dilindungi.

Tuntutan pidana terhadap Sheppard dan Fazeli pergi dari sini. Tidak ada keluhan yang mengidentifikasi individu di balik Kirk # 5270 atau secara eksplisit menautkan akun tersebut ke individu yang disebutkan. Tetapi dokumen pengadilan dalam kasus Clark menuduh bahwa 17 tahun yang telah mendapatkan akses ke sistem Twitter, dan yang kemudian mengambil alih akun-akun terkenal dalam pelayanan penipuan bitcoin. Departemen Kehakiman telah merujuk kasus tersebut ke Kantor Kejaksaan Negeri Hillsborough, yang menuntut Clark, menurut situs web kantor, "karena hukum Florida memungkinkan anak di bawah umur untuk didakwa sebagai orang dewasa dalam kasus penipuan keuangan seperti ini jika sesuai."

"Dia memperoleh akses ke akun Twitter dan ke kontrol internal Twitter melalui kompromi seorang karyawan Twitter," kata pengacara negara bagian Hillsborough, Andrew Warren dalam konferensi video Jumat. “Dia menjual akses ke akun-akun itu. Dia kemudian menggunakan identitas orang-orang terkemuka untuk mengumpulkan uang dalam bentuk bitcoin, menjanjikan imbalan bahwa dia akan mengirim kembali bitcoin dua kali lebih banyak. ”

Dokumen pengadilan menunjukkan sekitar 415 pembayaran ke dompet bitcoin yang terkait dengan penipuan, dengan jumlah yang setara dengan sekitar $ 177.000.

Seperti yang dikonfirmasi Twitter pekan lalu, 130 akun ditargetkan dalam semua. Penyerang berhasil tweet dari 45 akun, mengakses pesan langsung dari 36, dan mengunduh tujuh data Twitter. Pada Kamis malam, Twitter mengungkapkan bahwa penyerang masuk melalui rekayasa sosial, khususnya melalui serangan phear-phishing telepon, yang menargetkan karyawan perusahaan. Dokumen pengadilan tidak memberikan lebih banyak detail daripada itu dan hanya menuduh bahwa tindakan Clark dimulai sekitar 3 Mei.

Juga tidak sepenuhnya jelas bagaimana para penyelidik mengidentifikasi Clark, tetapi jejak yang mengarahkan FBI ke Sheppard dan Fazeli memiliki remah roti yang jauh lebih besar. Pada tanggal 2 April, administrator OGUsers mengumumkan bahwa forum telah diretas; beberapa hari kemudian, dokumen pengadilan mengatakan, geng peretas saingan memasang tautan unduhan ke basis data informasi pengguna.

Ternyata cukup sulit, penuh bukan hanya nama pengguna dan posting publik tetapi pesan pribadi antara pengguna, alamat IP, dan alamat email. FBI mengatakan pihaknya memperoleh salinan database pada 9 April.

Pekerjaan tampaknya cepat dari sana. Dalam pesan pribadi Chaewon tentang OGUsers, penyelidik mengatakan mereka menemukan pertukaran pada bulan Februari di mana Chaewon diperintahkan untuk membayar videogame dengan mengirimkan bitcoin ke alamat tertentu. Aktivitas di dompet itu pada hari berikutnya dilacak ke sekelompok alamat bitcoin yang, berbulan-bulan kemudian, akan digunakan oleh "yang sangat cemas # 0001" dalam interaksinya dengan Kirk # 5270. Penyelidik juga menggunakan database untuk menghubungkan akun Chaewon ke pegangan OGUsers lain, Mas. Kedua akun masuk ke forum dari alamat IP yang sama pada hari yang sama, menurut kebocoran basis data; agen juga menemukan bahwa berkali-kali antara 11 dan 15 Februari tahun ini, Chaewon memposting "" ITU MAS, AKU TIDAK MASUK, AKU MAS MAS MAS! @, "yang dikombinasikan menunjukkan bahwa Chaewon dan Mas dimiliki oleh orang yang sama.

Akun Mas dikaitkan dengan akun email [email protected], kata penyelidik, yang ditautkan dengan akun Coinbase yang terkait dengan Mason Sheppard. Alamat bitcoin yang terkait dengan Chaewon juga telah memproses banyak pertukaran di bursa cryptocurrency Binance, yang catatannya juga mengikat akun-akun itu dengan Sheppard. Akhirnya, dokumen pengadilan mengatakan bahwa seorang remaja yang tidak disebutkan namanya yang diduga membantu dalam skema mengatakan kepada penyelidik bahwa mereka mengenal Chaewon dengan nama Mason.

Investigator mengandalkan bitcoin dan alamat IP untuk menghubungkan Rolex # 0373 ke Fazeli, juga, khususnya pada 30 Oktober 2018, pertukaran yang dirujuk di forum OGUsers. Akun Coinbase yang terlibat dalam transaksi itu diduga milik "Nim F," di bawah alamat email "[email protected]," yang sama digunakan untuk mendaftarkan akun Rolex di OGUsers. Akun Coinbase diduga telah diverifikasi dengan SIM Florida atas nama Nima Fazeli, lengkap dengan nomor SIM. Seiring waktu, dokumen pengadilan mengatakan, Fazeli akan menggunakan SIM asli untuk mendaftarkan tiga akun Coinbase terpisah, yang ketiga sering dikunjungi dari alamat IP yang sama dengan akun Discord Rolex # 0373 dan akun Rolex di OGUsers.

"Kami menghargai tindakan cepat dari penegakan hukum dalam penyelidikan ini dan akan terus bekerja sama ketika kasus ini berkembang," kata Twitter dalam sebuah pernyataan tweet. Kantor FBI San Francisco merilis pernyataan Jumat yang menunjukkan bahwa penyelidikan masih berlangsung.

Sementara hack Twitter mengumpulkan berita utama, serangan rekayasa sosial di jantungnya bukanlah hal yang baru. "Dalam hal MO membobol perusahaan dan kemudian menggunakan alat karyawan untuk melanggengkan penipuan, itu hanya hari lain untuk orang-orang ini," kata Allison Nixon, kepala peneliti di perusahaan cybersecurity Unit 221B, yang membantu FBI dalam penyelidikan . "MO yang sama persis ini digunakan terhadap perusahaan telekomunikasi selama bertahun-tahun sebelum ini."

Secara umum, jenis rekayasa sosial yang digunakan dalam retasan Twitter menghindari pengawasan hukum, kata Nixon, karena dianggap sebagai tingkat serangan yang rendah. Itu jelas bukan lagi kasus ketika daftar sasaran Anda termasuk seorang mantan presiden dan dua orang terkaya di dunia. Juga tidak jelas seberapa efektif pencegah penangkapan ini akan terbukti dalam jangka panjang, mengingat seberapa mengakar komunitas peretasan ini. Jika ada, rincian dalam pengaduan pidana dapat memerintahkan serangan di masa depan.

"Setiap siklus ini mengajarkan mereka untuk menjadi lebih baik," kata Nixon, "karena mereka bisa melihat bukti yang melawan mereka, dan bagaimana mereka tertangkap."