Der Twitter Hack
Am 15. Juli 2020 gingen die ersten Meldungen zu einem Vorfall von Konten-Übernahme – einem Twitter Hack ein. Die Konten von Personen des öffentlichen Lebens wurden gehackt. Das sind die Konten bei Twitter, die mit einem blauen Haken gekennzeichnet sind. Darunter waren Elon Musk, Barack Obama, Kim Kardashian, Jeff Bezos und viele andere mehr. Es wurden im Namen dieser Prominenten Personen Post’s abgesetzt.
Was ist passiert?
Hacker haben Zugang zu den Konten erhalten und haben diese „gekapert“. D.h. sie waren im Besitz der Zugangsdaten zu diesen Konten und konnte so Tweets absetzen. Die Tweets wurden sozusagen „im Namen“ der Person gesendet, die der Besitzer des Konto’s ist. Das führte dazu, dass z.B. auf dem Account von Bill Gates und Jeff Bezos die Follower mit folgender Meldung gelockt wurden:
Der Text lautete: „ich habe entschieden, an meine Community etwas zurück zu geben. Alle Bitcoin die an die Adresse unten gesendet werden, werden im Gegenzug verdoppelt. Ich mache das bis zu einem Betrag von 50.000.000 $.“ Die Nummer ist die Bitcoin Wallet Adresse.
Daraufhin haben viele der Follower von z.B. Jeff Bezos Bitcoins an die besagte Adresse gesendet. Zurück gab’s natürlich nichts, schon gar keine Verdoppelung der eingesetzten Bitcoins. So war es möglich, dass die Hacker in 4 Tagen ca. 120.000 $ verdient haben. Nachdem das bekannt wurde und diejenigen die bezahlt haben und deren Bitcoin weg waren, wurden die Accounts vom Unternehmen Twitter deaktiviert.
Aktuell zu diesem Vorfall konnte ich dem DLF Journalisten Johannes Kuhn einige Informationen liefern. Hier findet ihr den Link zu dem Radio Beitrag mit O-Ton von mir:
Link zum DLF-Beitrag über Twitter-Hack am 16.7.2020
Wie kann sowas überhaupt passieren?
Wie kommen solche Hacker dazu die Account von Social Media Nutzenden zu „kapern“, also komplett zu übernehmen? Ich gehe grundsätzlich davon aus, dass nur ich die Daten kennen und keine andere Person. Leider ist das nicht immer der Fall, wie an diesem Beispiel zu sehen ist. In diesem speziellen Fall wurden die Zugangsdaten direkt aus einem internen System abgerufen. D.h. ein System das normalerweise nur von den Twitter-Administratoren (also interne, angestellten Mitarbeitenden des Unternehmen’s Twitter) benutzt wird. Diese betreuen damit die Accounts. Sie kontrollieren Tweets oder beheben Fehler. Zu diesem System haben die Hacker sich Zugang verschafft.
Social Engineering und Spear Phishing
Einer der Hacker hat vorgetäuscht er wäre ein interner Twitter-Mitarbeiter. Diese Methode nennt man „Social Engineering“ – eine Methode zur Täuschung von Personen. Dabei wird mit Hilfe von Psychologischen Erkenntnissen das normal, erwartete, menschliche Verhalten ausgenutzt.
Mittels einer sogenannten „Spear Phishing Attacke“ wurden interne Mitarbeitende getäuscht. D.h. der Hacker hat sich als Kollege ausgegeben und dann an einen internen Mitarbeitenden eine Mail gesandt. Diese Mail enthielt entweder Schadcode oder einen Link zu einer Webseite mit Malware. Und – klar ich vertraue natürlich einem Kollegen mehr, als jemandem den ich nicht kenne. Und dann – klicke ich doch auf eine Email, die ich sonst kritisch anschauen und als Spam melden oder löschen würde. Über diesen Weg kamen die Hacker an Zugangsdaten zu dem internen System. Und so waren sie in der Lage, die Accounts zu übernehmen und alles mögliche zu posten. Sie haben (laut Twitter) insgesamt 130 Account Daten abgegriffen. Über 45 Accounts wurden dann die gefälschten Bitcoin Meldungen gepostet. In diesem Fall haben sie gut Geld verdient. Und Twitter hat eingestanden, dass sie die Mitarbeitenden mehr für solche Angriffe sensibilisieren müssen.
zu viele Adminstration’s Accounts
Twitter hat im Nachgang zu diesem Hack begonnen zu prüfen, wer im Unternehmen einen Administration’s Account hat und wer diesen überhaupt benötigt. Dieses Thema kenne ich aus der gelebten Praxis in Unternehmen. Die Überprüfung von Berechtigungen ist für Unternehmen meist eine Herausforderung. Aber umso wichtiger, wie hier zu sehen ist. Twitter hat nämlich festgestellt, dass sie intern ca. 1.000 Personen haben, die diese Rechte inne hatten. D.h. 1.000 Personen waren in der Lage Konten zu übernehmen. Das ist selbst für ein Unternehmen wie Twitter viel zu viel. Twitter hat 3.900 Mitarbeitende (Stand 01.03.2020) weltweit. Da sind das fast 1/3 aller Mitarbeitenden die Zugang zu diesen Konten haben – das ist zu viel! Inzwischen hat Twitter die internen Prozesse unter die Lupe genommen. Das Unternehmen Berechtigungen prüft, reguliert und kontrolliert die Vergabe, Änderungen und den Entzug von Berechtigungen stärker.
Das sollte im übrigen jedes Unternehmen tun, egal wie klein oder groß es ist. Denn, wie schon der Cyber Security Experte aus den USA – Marc Goodman in einem Gespräch mit mir im März 2017 gesagt hat: „The human is the weakest link“ – Der Mensch ist das schwächste Glied der Kette. Und Menschen machen Fehler – auch das ist normal. Gefährlich ist es dann, wenn diese Schwächen/Fehler von Hackern ausgenutzt werden.
Deshalb ist es wichtig, dass wir unsere Daten und damit unsere persönlichen Werte schützen!
Falls ihr es nachlesen mögt:
Begegnung mit Marc Goodman 2017
Hacker gefasst
Einige Wochen später (am 01. August 2020) wurden die Hacker gefasst. Es waren 3 junge Männer, von denen ein 17jähriger der Kopf war. Er hat zunächst die Zugangsdaten zu den Twitter Konten von Prominenten verkauft. Im zweiten Schritt erfolgte dann die Postings zu den Bitcoin Täuschungen. Und das mit 17 Jahren – Hut ab! Ganz schön clever der junge Mann. Ich habe etwas recherchiert zu seiner Persönlichkeit. Ein interessanter Aspekt war, dass er schon als Kind/Jugendlicher viel Zeit vor dem Rechner und vor allem in Online Spiele Plattformen verbracht hat. Er hat dort das Betrügen und Täuschen geübt und er wurde richtig gut darin.
Täuschung’s Manöver
Seine exzellenten Täuschung’s Manöver führten sogar zum Ausschluss aus einigen Gaming Plattformen. Die anderen Nutzenden hatten es irgendwann satt, von ihm ausgenutzt zu werden. Unter anderem hatte er zusätzliche Funktionen für das Spiel verkauft, aber keinen Gegenwert für die Bezahlung geliefert. Als das transparent wurde, flog er aus dem Spiel. Einige der Mitspielenden, die in einer Online Spiel Plattform von ihm „abgezockt“ wurden gaben gute Hinweise. Anhand der Vorgehensweise, die er beim Betrügen im Spiel gezeigt hat, kamen die Ermittler auf seine Spur. Entlarvung durch „bad social behaviour“ also – Entlarvung durch „mangelhaftes Sozialverhalten“.
Kleine Anekdote zum Ende:
Bei der Online-Gerichtsanhörung des 17 jährigen Hackers Anfang August 2020, die das zuständige Gericht der USA über eine ZOOM Video Konferenz durchführten (wegen der Corona Pandemie) gab es einen Zwischenfall. Hacker störten die Anhörung mit sogenannten „Zoom-Bombing“ Attacken. Diese erfolgten mehrfach und führte dazu, dass die Anhörung unterbrochen werden musste. Die Hacker blendeten Rapmusik und Pornographische Videos ein und störten so den Ablauf der Anhörung. Eine Konferenz über das Systeme ZOOM kann gut abgesichert werden. So wird „ZOOM Bombing“ verhindert. Das hatte das Gericht wohl versäumt..
Link zu Artikel v. DECAN Cronicel
Photocredits Beitragsbild: Bild by Morning Brew on Unsplash
