Hacker beweisen, wie einfach es ist, Twitter-Accounts zu übernehmen, indem sie Jack Dorseys Profil entführen

Was sind die Folgen eines beeinträchtigten Kontos für soziale Netzwerke? Es ist fair zu sagen, dass es weitgehend davon abhängt, wem das Konto gehört. Für die meisten regulären Benutzer ist es nur eine Unannehmlichkeit, die, vorausgesetzt, sie widmen ihrer Online-Sicherheit genügend Aufmerksamkeit, nicht zu viel Schmerz verursachen sollte. Für Menschen, die viele Follower haben und mit ihrer Social-Media-Präsenz Geld verdienen, sind die Auswirkungen weitaus größer.

Wenn eine Person, die für eine Social-Media-Website verantwortlich ist, ihren Account gefährdet, ist das Ausmaß der Verlegenheit sowohl für diese Person als auch für die Plattform, die sie betreut, wirklich enorm. Mitbegründer und CEO von Twitter Jack Dorsey kennt dieses Gefühl nur zu gut.

Am Freitag sahen Dorseys 4,2 Millionen Follower auf Twitter plötzlich einen ungewöhnlichen Strom von Tweets. Es war aus zwei verschiedenen Gründen ungewöhnlich. Erstens ist Dorsey, obwohl er die Plattform betreibt, nicht gerade der aktivste Twitter-Nutzer der Welt, und er veröffentlicht selten mehrere Updates innerhalb eines kurzen Zeitrahmens. Noch wichtiger ist jedoch, dass die Tweets nicht wirklich zum CEO eines großen Silicon Valley-Unternehmens passten. Sie enthielten rassistische Beleidigungen und Botschaften, die völlig unzusammenhängend waren. Die Leute hatten sofort den Verdacht, dass Dorseys Account möglicherweise gehackt wurde, und der Hashtag #ChucklingSquad hat alle Zweifel ausgeräumt.

Wie The Verge betonte, handelt es sich bei Chuckling Squad um eine Gruppe von Cyberkriminellen, die versuchen, sich einen Namen zu machen, indem sie die Konten einer Reihe von Prominenten und Persönlichkeiten aus den sozialen Medien hacken, und Jack Dorsey ist ihr bislang bekanntestes Opfer. Die Schurken-Tweets wurden schnell entfernt, und Twitter gab zu, dass der CEO tatsächlich sein Konto kompromittiert hatte. Aber wie hat das Chuckling Squad das gemacht?

Jack Dorsey wurde Opfer eines SIM-Tauschangriffs

Dorsey ist weit davon entfernt, dass der erste CEO von Silicon Valley sein Social-Media-Profil gekapert hat. Vor ein paar Jahren brachen Hacker in mehrere Konten ein, die Mark Zuckerberg, Mr. Social Network, gehörten. Sie haben es geschafft, nachdem sie herausgefunden hatten, dass der CEO von Facebook kein großer Fan von Zwei-Faktor-Authentifizierung ist und ein äußerst einfaches Passwort verwendet, um seine Konten zu schützen.

Tatsächlich ist das Gefühl, die Kontrolle über Ihr Konto auf Ihrer eigenen Plattform zu verlieren, auch für Jack Dorsey nichts Neues. Im Jahr 2016 nutzten Cyberkriminelle einige ungenutzte Apps von Drittanbietern, um im Auftrag von Dorsey ein paar Schurken-Tweets zu versenden.

Während des Angriffs am Freitag verwendeten die Gauner jedoch keine Drittanbieter-App und erraten auch nicht Dorseys Passwort. Stattdessen übernahmen sie das Konto mit einer Technik namens SIM-Tausch .

Bei einem SIM-Tausch-Angriff überzeugen die Kriminellen Mobilfunkanbieter, eine neue SIM-Karte auszugeben, die der Telefonnummer des Opfers zugeordnet ist. Auf diese Weise haben sie die Kontrolle über diese Telefonnummer und können sich als das Ziel ausgeben. Im Falle von Jack Dorsey haben sie auch Tweets für ihn gepostet.

Das konnten sie, weil die Microblogging-Plattform von Dorsey seit einiger Zeit die Funktion " Twitter via SMS " bietet. Es ist für Benutzer in einigen Ländern verfügbar und ermöglicht es Kontoinhabern, wie Sie sich vorstellen können, Texte zu senden, die als Tweets in ihrem Profil angezeigt werden. Mit einer Reihe von Befehlen können sie auch Aktualisierungen von anderen Personen retweeten und liken, verfolgen, blockieren und direkte Nachrichten an andere Konten senden. Nachdem sie Jack Dorseys Telefonnummer entführt hatten, konnten die Kriminellen all diese Dinge auch tun.

Twitter sagt, es ist nicht schuld

Nach dem Angriff sagte Twitter in einer Reihe von Tweets , das Ganze sei das Ergebnis einer "Sicherheitsüberprüfung durch den Mobilfunkanbieter". Das Kommunikationsteam gab bekannt, dass die eigenen Systeme von Twitter nicht kompromittiert wurden, und beschloss, nicht zu offenbaren, welche Mechanismen ähnliche Angriffe in Zukunft verhindern würden.

Es klingt im Grunde genommen so, als ob Twitter der Meinung ist, dass die ganze Schuld der Haustür des Mobilfunkanbieters zuzuschreiben ist, was bestenfalls umstritten ist. Tatsächlich hat Dorseys Telekommunikationsunternehmen nicht genug getan, um seine Telefonnummer zu schützen, und das ist an sich schon beunruhigend, wenn man bedenkt, wie viel Schaden mit einer einzelnen entführten Nummer angerichtet werden kann.

Auf der anderen Seite sollten Onlinedienste wie Twitter jedoch alles tun, um diesen Schaden so gering wie möglich zu halten, und die Art und Weise, wie die Microblogging-Website auf den Angriff reagiert, deutet nicht wirklich darauf hin, dass sie diese Verantwortung sehr ernst nimmt. SIM-Tausch ist ein ziemlich alter Trick und sollte Teil des Bedrohungsmodells aller sein. Leider hinken die Telekommunikationsanbieter bei der Prävention mit Sicherheit hinterher, und dies sollte für die Sicherheitskräfte eher ein Anreiz sein, alles zu tun, um uns zu schützen.