Hack-Warnung: Cyberkriminelle übernehmen beliebte Twitter-Konten, um Benutzer einem Bitcoin-Betrug auszusetzen

Prominent Twitter Accounts Compromised

Was müssen Sie tun, wenn Sie in wenigen Stunden mehr als 100.000 US-Dollar verdienen möchten? Vorausgesetzt, Sie kümmern sich nicht um Dinge wie Gesetzesverstöße und mögliche Haftstrafen, wenn Sie erwischt werden, ist das gar nicht so schwierig. Sie müssen nur einige beliebte Konten auf Twitter entführen und einen Bitcoin-Betrug von beispiellosem Ausmaß ausführen.

Gestern haben Hacker einige der einflussreichsten Nutzer von Twitter angegriffen. Unter den Opfern waren die Politiker Barack Obama, Joe Biden und Mike Bloomberg, die Unternehmer Elon Musk, Jeff Bezos und Bill Gates, die Musiker Kanye West und Wiz Khalifa sowie die Unternehmenskonten von Apple und Uber. Nicht wenige Kryptowährungskonten wurden ebenfalls entführt, und alle wurden in einem ausgesprochen einfachen Bitcoin-Betrug eingesetzt.

Du gibst mir eine Bitcoin und ich gebe dir zwei Bitcoins

Die Hacker nutzten die kompromittierten Konten, um Millionen von Followern Geld für die Verarbeitung einer Kryptowährungstransaktion zu versprechen. Den Benutzern wurde mitgeteilt, dass sie, wenn sie einige Bitcoins an eine in den Tweets angegebene Adresse senden, kurz danach das Doppelte dieses Betrags in ihren eigenen Brieftaschen erhalten. Abgesehen von der Tatsache, dass einige Berichte die COVID-19-Krise als Grund für das Werbegeschenk anführten, während andere behaupteten, dass dies aus purer Großzügigkeit geschehen sei, waren alle Tweets ziemlich gleich.

Bei den Kryptowährungskonten verfolgten die Hacker eine etwas andere Strategie. Anstatt das Werbegeschenk in einem Tweet zu bewerben, verknüpften sie kürzlich registrierte Domains, die dasselbe Schema mit derselben Bitcoin-Adresse pushen.

Es war nicht der erste Betrug dieser Art, aber es ist fair zu sagen, dass er noch nie in einem solchen Ausmaß durchgeführt wurde. Um den Menschen ein Gefühl der Dringlichkeit zu geben, behaupteten die meisten Tweets, dass das Werbegeschenk nur 30 Minuten dauern würde, und dies scheint sich ausgezahlt zu haben.

Naive Benutzer senden Kryptowährung im Wert von mehr als 100.000 US-Dollar an die Betrüger

Der Angriff war sicherlich beispiellos, aber der Betrug selbst war nicht innovativ. Die Hacker haben sich nicht einmal die Mühe gemacht, mehrere Bitcoin-Adressen zu verwenden, um ihre Spuren effizienter zu verwischen.

Man könnte meinen, dass der Mangel an Raffinesse in Verbindung mit der Tatsache, dass die Leute inzwischen wirklich wissen sollten, dass "Geld für nichts" -Programme im Internet nicht funktionieren, dies zu einer verpassten Chance für die Hacker machen würde. Dies ist nicht ganz der Fall.

Da die Hacker eine einzige Bitcoin-Adresse verwendet haben, ist es ziemlich einfach zu sehen, wie viel Geld die Leute gesendet haben. Laut Blockchain.info belaufen sich die eingehenden Transaktionen auf die Bitcoin-Brieftasche der Gauner zum Zeitpunkt des Schreibens auf 12,8 BTC oder rund 117.000 US-Dollar. Einige mögen argumentieren, dass dies angesichts der enormen Anzahl potenzieller Opfer nicht so viel ist, aber angesichts der Tatsache, dass einige der Betrugstweets nur wenige Minuten nach ihrer Veröffentlichung entfernt wurden, ist dies kein schlechter Gehaltsscheck.

Twitter: Es war ein Social-Engineering-Angriff gegen unsere Mitarbeiter

Twitter hat schnell reagiert, was angesichts der großen Anzahl der beteiligten hochkarätigen Accounts eigentlich keine Überraschung sein sollte. Die Tweets wurden sofort gelöscht, und einige Stunden lang konnten einige Kontoinhaber ihre Passwörter nicht twittern oder zurücksetzen, während das Sicherheitsteam der Microblogging-Plattform das Chaos bereinigte.

Es war nicht überraschend, dass sich die Leute fragten, wie es den Hackern gelungen war, hineinzukommen, und viele erinnerten sich an den Tag, an dem Twitter bekannt gab, dass es versehentlich die Klartext-Passwörter aller 330 Millionen Benutzer in eine interne Datei eingefügt hatte. Damals forderte die Social-Media-Plattform alle Benutzer auf, ihre Passwörter zu ändern, obwohl darauf hingewiesen wurde, dass nur Mitarbeiter Zugriff auf die Anmeldedaten hatten. Wir haben keine Hinweise auf Lecks aufgrund des Fehlers gesehen, aber als prominente Leute gestern anfingen, den Bitcoin-Betrug voranzutreiben, dachten einige Sicherheitsexperten, dass die Passwörter vielleicht doch ihren Weg nach außen gefunden haben könnten. Es stellte sich jedoch heraus, dass der Fehler im Mai 2018 nichts damit zu tun hatte.

Die Untersuchung ist noch nicht abgeschlossen, aber das Support-Team von Twitter hat bereits angekündigt, dass die Hacker "einen koordinierten Social-Engineering-Angriff" gegen einige Mitarbeiter der sozialen Medien organisiert haben. Kurz nachdem die ersten Betrugstweets veröffentlicht wurden, erschienen einige Screenshots, die darauf hinwiesen, dass die Hacker zwar keinen Zugriff auf die Passwörter der kompromittierten Konten hatten, jedoch ein Backend-Tool kontrollierten, das im Namen der Opfer veröffentlicht werden konnte. Laut Motherboard-Quellen haben die Gauner möglicherweise Zugriff auf diese Tools erhalten, nachdem sie einen Twitter-Mitarbeiter bestochen haben.

Wie auch immer, wenn Sie sich jemals gefragt haben, welchen Einfluss soziale Netzwerke auf das Leben der Menschen haben, sollte dies ein ziemlich gutes Beispiel sein. Besitzer prominenter Twitter- und Facebook-Konten müssen wissen, dass jedes Wort, das sie veröffentlichen, bei ihren Followern und Fans alle möglichen Reaktionen hervorrufen kann, und sie müssen diese Verantwortung sehr ernst nehmen. Social-Media-Nutzer müssen lernen, nicht allem zu vertrauen, was sie im Internet sehen, auch wenn es von Menschen zu kommen scheint, die sie bewundern.

Twitter hat in der Zwischenzeit viel zu untersuchen und viele Lektionen zu lernen.

July 16, 2020

Antworten