Twitter: Scam-Attacke ist vermutlich durch Social Engineering möglich gewesen
von caschy | 16 Kommentare
Wir berichteten bereits kurz nach Aufkommen der Scam-Welle auf Twitter darüber, nun gibt es ein paar wenige neue Erkenntnisse. Was war geschehen? Auf Twitter fragten große und verifizierte Accounts (Apple, Bill Gates, Barack Obama und weitere) nach der virtuellen Währung Bitcoin. Versprachen dabei, etwas „zurückgeben zu wollen“, dem Sender das Doppelte zu vergüten. Mutet sicherlich vielen komisch an, aber es gab zahlreiche Nutzer, die Bitcoin schickten – und nichts erhielten. Klassischer Betrug, doch wie war es dazu gekommen? Wurden diese Accounts etwa gehackt?
Nein, das war eben nicht der Fall. In der Nacht enthüllte das Unternehmen, dass seine eigenen internen Mitarbeiter-Tools kompromittiert und bei dem Hack verwendet wurden. Das Unternehmen ergriff als Erstes die Maßnahme, dass für eine gewisse Zeit verifizierte Nutzer überhaupt nicht twittern konnten, um der Sache auf den Grund zu gehen. Vermutlich haben es die Angreifer in einer koordinierten Aktion geschafft, sich über Mitarbeiter von Twitter Zugriff auf Schalt- und Waltmöglichkeiten zu sichern.
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Später schrieb Twitter-CEO Jack Dorsey noch: „Ein harter Tag für uns bei Twitter. Wir alle fühlen uns schrecklich, dass dies passiert ist. Wir stellen Diagnosen und werden alles, was wir können, mitteilen, wenn wir ein vollständigeres Verständnis davon haben, was genau passiert ist.“ Feststeht, dass der Scammer einiges an Eingängen zu verzeichnen hat auf seinem Konto.
Wird geladen ...
wie häufig immer und überall – die größte Bedrohung sitzt immer im Unternehmen 🙁
ja, galt immer und wird immer so sein. je größer das unternehmen umso mehr toxische menschen werden da unterwegs sein. ein horror für jeden unternehmer.
Erstaunlich, dass diese Tools aus dem Internet heraus funktionieren und anscheinend ohne Authentifizierung der Mitarbeiter arbeiten. So hätte man das schwarze Schaf ermitteln können.
Wieso greift hier kein 2FA bei den Mitarbeiter-Accounts?
Social Engineering kann eigentlich alles sein. Nehmen wir an du erpresst einen Mitarbeiter mit vollständigem Datenbankzugriff … dann gibt der dir nach seinen Credentials natürlich auch noch den 2FA Code durch.
Deshalb darf man die Schuld auch nicht bei den Mitarbeitern suchen. (‚Schwarzes Schaaf‘, etc.) Technisch mitigiert man so etwas indem kein einzelner Nutzer derart viele Zugriffsrechte auf sich vereint. Gesellschaftlich mitigiert man so etwas in dem man nicht alles glaubt, was ein prominenter Twitter-Account schreibt. …aber bis wir so weit sind dauert es vielleicht noch ein paar Jahrzehnte.
Social Engineering != Blackmailing
Beim Social Engineering lasse ich das Opfer glauben, alles was passiert wäre legitim. Wenn ich ihn erpresse, ist das kein Social Engineering…
Beim Rest stimme ich dir natürlich zu.
> Beim Social Engineering lasse ich das Opfer glauben, alles was passiert wäre legitim.
Also die Wikipedia fasst das deutlich weiter:
de.wikipedia.org/wiki/Social_Engineering_(Sicherheit)
Aber von Erpressung ist auch das was Wiki schreibt weit entfernt, insofern point taken.
weil im internen Firmennetz herraus?
Und wie kommt der Angreifer da rein?
Es hieß ja eben, dass es keine Mitarbeiter waren, sondern dass Tools von Mitarbeitern kompromittiert wurden.
Wie kann man so dämlich sein und in so einem Fall Bitcoins verschicken? Blinde Gier…
@Kerberos
Das Verschicken von Bitcoins hat weniger mit Gier zu tun als Dein Post mit Blindheit.
Ach, wenn also jemand bei Twitter dazu aufruft aus 1000 USD schnell mal eben 2000 USD zu machen und Leute darauf reinfallen ist das keine blinde Gier? Sondern?
Wer darauf rein fällt schickt sein Geld auch Prinzen aus Nigeria.
Hier übrigens der Tweet:
https://images.news18.com/ibnlive/uploads/2020/07/1594848246_bill-gates-twitter-crypto-hacked.jpg
Versteh ich auch nicht. Wer da drauf reinfällt, ist echt selbst schuld.
Dieser ganze Authentifizierungsunfug in einer Million Versionen gehört endlich auf den Müllhaufen der Internetgeschichte. Wie man sieht nützt das Höherbauen von Schutzmauern wenig, wenn der Angreifer einen Tunnel gräbt.
Auf jeden Fall bin ich schon mal froh, dass es kein Datenleck war. Danke für die Beruhigungspille.
Und was schlägst Du als Alternative zu MFA vor?
Es gibt nicht einzige Möglichkeit das hacken zu verhindern. So ist das Internet und wenn der Mensch versucht sein eigenes Netzwerk zu schützen. Wer die Tür nicht abschließt der bekommt Besuch. Immer wieder erstaunliche wieviel Wert dieser Internet Mist ist.