1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Le Cyber-voyou britannique "PlugwalkJoe" Écope de 5 ans de prison

Le Cyber-voyou britannique "PlugwalkJoe" Écope de 5 ans de prison

Joseph James "PlugwalkJoe" O'Connor, un Britannique de 24 ans qui a gagné ses 15 minutes de gloire en participant au hack de juillet 2020 de Sur Twitter, a été condamné à cinq ans de prison aux États-Unis. Cela peut sembler une punition sévère pour une brève et très publique balade en cyber-joie. Mais O'Connor a également plaidé coupable dans une enquête distincte impliquant une frénésie de cyberharcèlement et de vol de crypto-monnaie de plusieurs années permise par “Échange de carte SIM, "un crime dans lequel des fraudeurs incitent un fournisseur de téléphonie mobile à détourner les appels téléphoniques et les SMS d'un client vers un appareil qu'ils contrôlent.

Joseph "PlugwalkJoe" O'Connor, sur une photo tirée d'un communiqué de presse de Globe Newswire en septembre. 02, 2020, présentant O'Connor en tant qu'expert et conseiller en crypto-monnaie.

Le 16 juillet 2020 — le lendemain du jour où certains des utilisateurs les plus reconnaissables et les plus populaires de Twitter ont vu leurs comptes piratés et utilisés pour tweeter une arnaque bitcoin — KrebsOnSecurity observé que plusieurs comptes de médias sociaux liés à O'Connor semblaient avoir une connaissance intime de l'intrusion. Cette histoire a également noté que grâce aux confinements COVID-19 à l'époque, O'Connor était coincé en vacances indéfinies dans une station balnéaire populaire en Espagne.

Peu de temps après le piratage de Twitter, O'Connor a été cité dans Le Journal de Montréal niant toute implication. ” Je m'en fiche", a déclaré O'Connor au Times. "Ils peuvent venir m'arrêter. Je me moquerais d'eux. Je n'ai rien fait.”

Parlant avec KrebsOnSecurity via un message instantané Instagram quelques jours seulement après le piratage de Twitter, PlugwalkJoe a exigé que son vrai nom soit tenu à l'écart des futurs articles de blog ici. Après qu'on lui ait dit que cela ne pouvait pas être promis, il a fait remarquer que certaines personnes de son cercle d'amis avaient été connues pour en embaucher d'autres pour infliger des coups physiques à des personnes qu'elles n'aimaient pas.

O'Connor était toujours en Espagne un an plus tard lorsque les procureurs du district nord de Californie accusé d'avoir conspiré pour pirater Twitter. Dans le même temps, les procureurs du district sud de New York ont inculpé O'Connor d'un nombre impressionnant de cyber-infractions impliquant l'exploitation de comptes de médias sociaux, l'extorsion en ligne et le cyberharcèlement, ainsi que le vol de crypto-monnaie alors évalué à près de 800 000 USD.

Fin avril 2023, O'Connor a été extradé d'Espagne pour faire face à des accusations aux États-Unis. Deux semaines plus tard, il a plaidé coupable en Californie et à New York, admettant les dix accusations criminelles portées contre lui. Le 23 juin, O'Connor était condamné à cinq ans de prison.

PlugwalkJoe faisait partie d'une communauté spécialisée dans l'échange de cartes SIM entre victimes pour reprendre leur identité en ligne. Échange de carte SIM non autorisé est un stratagème dans lequel les fraudeurs trompent ou soudoient les employés des compagnies de téléphonie sans fil pour qu'ils redirigent les SMS et les appels téléphoniques de la cible vers un appareil qu'ils contrôlent.

À partir de là, les attaquants peuvent réinitialiser le mot de passe de n'importe lequel des comptes en ligne de la victime qui permettent la réinitialisation du mot de passe par SMS. L'échange de cartes SIM permet également aux attaquants d'intercepter les mots de passe à usage unique nécessaires à l'authentification multifacteur (MFA) par SMS.

O'Connor a admis avoir mené des attaques d'échange de cartes SIM pour prendre le contrôle de comptes financiers liés à plusieurs dirigeants de crypto-monnaie en mai 2019, et avoir volé de la monnaie numérique actuellement évaluée à plus de 1,6 million de dollars.

PlugwalkJoe a également réussi à se faufiler dans les comptes Snapchat de plusieurs célébrités féminines et à menacer de publier des photos nues trouvées sur leurs téléphones.

Les victimes qui refusaient d'abandonner leurs comptes sur les réseaux sociaux ou de se soumettre à des demandes d'extorsion étaient souvent visitées par des “attaques de swatting”, dans lesquelles O'Connor et d'autres signalaient faussement une fusillade ou une prise d'otage dans l'espoir d'inciter la police à visiter une force potentiellement mortelle à l'adresse d'une cible.

Les procureurs ont déclaré qu'O'Connor avait même frappé et harcelé sur Internet une jeune fille de 16 ans, lui envoyant des photos nues et menaçant de la violer et/ou de la tuer, elle et sa famille.

Dans le cas du piratage de Twitter, O'Connor a plaidé coupable de complot en vue de commettre des intrusions informatiques, de complot en vue de commettre une fraude électronique et de complot en vue de commettre un blanchiment d'argent.

Le compte "@ shinji", alias "PlugWalkJoe", tweetant une capture d'écran de l'interface des outils internes de Twitter, le 15 juillet 2020.

Pour résoudre l'affaire contre lui à New York, O'Connor a plaidé coupable de complot en vue de commettre une intrusion informatique, de deux chefs d'intrusion informatique, de communications extorquantes, de deux chefs de harcèlement criminel et de communications menaçantes.

En plus de la peine de prison, O'Connor a été condamné à trois ans de liberté surveillée et condamné à payer 794 012,64 forf en confiscation.

Pour être clair, le piratage de Twitter de juillet 2020 n'impliquait pas d'échange de cartes SIM. Twitter a plutôt déclaré que les intrus avaient trompé un employé de Twitter par téléphone en lui donnant accès à des outils internes.

Trois autres ont été inculpés avec O'Connor dans le compromis Twitter. Le cerveau présumé du piratage, alors âgé de 17 ans Jean-Pierre Legrand de Tampa, Floride., plaidé coupable en 2021 et a accepté de purger trois ans de prison, suivis de trois ans de probation.

Cette histoire est un bon rappel de la nécessité de minimisez votre dépendance aux compagnies de téléphonie mobile pour sécuriser votre identité en ligne. Cela signifie réduire le nombre de façons dont votre vie pourrait être bouleversée si quelqu'un devait pirater votre numéro de téléphone portable.

La plupart des services en ligne exigent que les utilisateurs valident un numéro de téléphone mobile dans le cadre de la création d'un compte, mais certains services vous permettront de supprimer votre numéro de téléphone après coup. Les services qui vous permettent de supprimer votre numéro de téléphone ou de désactiver les SMS/ appels téléphoniques pour la récupération de compte offrent probablement également des options d'authentification multifacteur plus sécurisées, telles que des mots de passe à usage unique basés sur des applications et clés de sécurité. Départ 2fa.annuaire pour une liste d'options multifactorielles disponibles sur des centaines de sites et services populaires.



>>Plus