Twitter-Account-Hijacking 2020 - 2020 Twitter account hijacking

Twitter-Account-Hijacking 2020
Ein Tweet von Apple, der lautet: „Wir geben unserer Community etwas zurück. Wir unterstützen Bitcoin und glauben, dass Sie das auch sollten! Alle an unsere Adressen gesendeten Bitcoins werden verdoppelt an Sie zurückgesendet!“  Nach einer Bitcoin-Adresse heißt es "Läuft nur die nächsten 30 Minuten".
Ein repräsentativer Betrugs-Tweet von Apples gehacktem Konto.
Datum 15. Juli 2020, 20:00–22:00 UTC
Ursache Koordinierter Social-Engineering- Angriff
Ziel Bekannte verifizierte Twitter- Konten
Ergebnis Mindestens 130 Konten betroffen. Die beteiligten Bitcoin-Adressen erhielten rund 110.000 US-Dollar an Bitcoin-Transaktionen.
Verhaftungen 3, Stand 31. Juli 2020

Am 15. Juli 2020, zwischen 20:00 und 22:00 UTC , wurden Berichten zufolge 130 hochkarätige Twitter- Konten von externen Parteien kompromittiert, um einen Bitcoin- Betrug zu fördern . Twitter und andere Medienquellen bestätigten, dass sich die Täter Zugang zu den Verwaltungstools von Twitter verschafft hatten, um die Konten selbst zu ändern und die Tweets direkt zu posten. Sie schienen Social Engineering genutzt zu haben, um sich über Twitter-Mitarbeiter Zugang zu den Tools zu verschaffen. Drei Personen wurden am 31. Juli 2020 von den Behörden festgenommen und wegen Überweisungsbetrugs , Geldwäsche , Identitätsdiebstahl und unbefugtem Computerzugriff im Zusammenhang mit dem Betrug angeklagt .

Die betrügerischen Tweets forderten Einzelpersonen auf, Bitcoin-Währung an eine bestimmte Kryptowährungs-Wallet zu senden , mit dem Versprechen des Twitter-Benutzers, dass das gesendete Geld verdoppelt und als wohltätige Geste zurückgegeben würde. Innerhalb von Minuten nach den ersten Tweets waren bereits mehr als 320 Transaktionen auf einer der Wallet-Adressen erfolgt und Bitcoin im Wert von mehr als 110.000 US-Dollar auf einem Konto hinterlegt, bevor die Betrugsnachrichten von Twitter entfernt wurden. Darüber hinaus wurden auch vollständige Nachrichtenverlaufsdaten von acht nicht verifizierten Konten erfasst.

Dmitri Alperovitch , Mitgründer von Cyber Firma CrowdStrike , beschrieb den Vorfall als „den schlechtesten Hack einer großen Social - Media - Plattform noch nicht.“ Das Federal Bureau of Investigation (FBI) und andere Strafverfolgungsbehörden untersuchen den Betrug und die Sicherheit, die von Twitter verwendet wird. Sicherheitsforscher äußerten Bedenken, dass das zur Ausführung des Hacks verwendete Social Engineering die Nutzung sozialer Medien in wichtigen Online-Diskussionen beeinträchtigen könnte, einschließlich im Vorfeld der US-Präsidentschaftswahlen 2020 .

Vorfall

Die forensische Analyse des Betrugs zeigte, dass die ersten Betrugsnachrichten zuerst von Konten mit kurzen, ein- oder zweistelligen eindeutigen Namen wie "@6" veröffentlicht wurden. Dies wurde gefolgt von Kryptowährung Twitter - Konten bei etwa 20.00 Uhr UTC am 15. Juli 2020, einschließlich den Coinbase , CoinDesk und Binance . Der Betrug wurde dann mit dem ersten solchen Tweet, der um 20:17 UTC von Elon Musks Twitter-Konto gesendet wurde, auf mehr hochkarätige Konten verschoben . Andere offenbar kompromittierte Konten waren die von bekannten Personen wie Barack Obama , Joe Biden , Bill Gates , Jeff Bezos , MrBeast , Michael Bloomberg , Warren Buffett , Floyd Mayweather Jr. , Kim Kardashian und Kanye West ; und Unternehmen wie Apple , Uber und Cash App . Twitter glaubte, dass 130 Konten betroffen waren, obwohl nur 45 tatsächlich verwendet wurden, um die betrügerische Nachricht zu twittern; Die meisten Konten, auf die im Rahmen des Betrugs zugegriffen wurde, hatten mindestens eine Million Follower.

Die Tweets, die an dem Betrugs-Hack beteiligt waren, behaupteten, dass der Absender für wohltätige Zwecke jedem Benutzer das Doppelte des Wertes aller Bitcoins zurückzahlen würde, die er an bestimmte Wallets gesendet hatte, oft als Teil einer COVID-19- Hilfsmaßnahme. Die Tweets folgten dem Teilen bösartiger Links durch eine Reihe von Kryptowährungsunternehmen; Die Website, auf der die Links gehostet wurden, wurde kurz nach der Veröffentlichung der Tweets entfernt. Während solche Betrügereien mit „double your bitcoin“ bereits auf Twitter üblich waren, ist dies der erste größere Fall, in dem sie mit hochkarätigen Konten verwendet werden. Sicherheitsexperten gehen davon aus, dass die Täter den Betrug als „ Smash-and-Grab-Operation betrieben haben: In dem Wissen, dass das Eindringen in die Konten schnell geschlossen werden würde, planten die Täter wahrscheinlich, dass nur ein kleiner Bruchteil der Millionen, die diesen Konten folgen, fallen müsste der Betrug in dieser kurzen Zeit, um schnelles Geld damit zu verdienen. Auf diesen Websites waren mehrere Bitcoin-Wallets aufgelistet; der erste beobachtete hatte 12 Bitcoins aus über 320 Transaktionen im Wert von mehr als 118.000 US-Dollar erhalten und etwa 61.000 US-Dollar davon abgezogen, während ein zweiter nur Tausende von Dollar hatte, als Twitter Schritte unternahm, um die Veröffentlichungen zu stoppen. Es ist unklar, ob dies Gelder waren, die von den Betrügern hinzugefügt wurden, da Bitcoin-Betrüger bekanntermaßen Geld in Wallets einzahlen, bevor sie Programme starten, um den Betrug legitim erscheinen zu lassen. Von den hinzugefügten Geldern stammten die meisten aus Brieftaschen mit chinesischem Eigentum, aber etwa 25 % stammten aus US-amerikanischen Brieftaschen. Nach dem Hinzufügen wurde die Kryptowährung anschließend über mehrere Konten übertragen, um ihre Identität zu verschleiern.

Einige der kompromittierten Konten veröffentlichten wiederholt Betrugsnachrichten, selbst nachdem einige der Nachrichten gelöscht wurden. Die Tweets wurden als über die Twitter- Web-App gesendet gekennzeichnet . Einer der an dem Betrug beteiligten Sätze wurde innerhalb von vier Stunden mehr als 3.000 Mal getwittert, wobei Tweets von IP-Adressen gesendet wurden, die mit vielen verschiedenen Ländern verknüpft waren. Die wiederverwendete Formulierung ermöglichte es Twitter, die beleidigenden Tweets leicht zu entfernen, während sie Schritte unternahmen, um den Betrug zu stoppen.

Um 21:45 Uhr UTC veröffentlichte Twitter eine Erklärung, in der es heißt, dass sie „von einem Sicherheitsvorfall wissen, der sich auf Konten auf Twitter auswirkt“ und dass sie „Schritte unternehmen, um das Problem zu beheben“. Kurz darauf deaktivierte es für einige Konten die Möglichkeit, zu twittern oder ihr Passwort zurückzusetzen. Twitter hat nicht bestätigt, welche Konten eingeschränkt wurden, aber viele Benutzer mit Konten, die Twitter als "verifiziert" markiert hatte, bestätigten, dass sie nicht twittern konnten. Ungefähr drei Stunden nach den ersten betrügerischen Tweets berichtete Twitter, dass sie glaubten, alle betroffenen Konten aufgelöst zu haben, um die Anmeldeinformationen ihrer rechtmäßigen Besitzer wiederherzustellen. Später in der Nacht sagte Twitter-CEO Jack Dorsey , es sei ein „harter Tag für uns bei Twitter. Wir alle fühlen uns schrecklich, dass dies passiert ist. Mindestens eine Kryptowährungsbörse, Coinbase, hat die Bitcoin-Adressen auf die schwarze Liste gesetzt, um zu verhindern, dass Geld gesendet wird. Coinbase sagte, sie habe den Versand von über 1.000 Transaktionen im Gesamtwert von über 280.000 US-Dollar gestoppt .

Neben dem Versenden von Tweets wurden die Kontodaten von acht kompromittierten Konten heruntergeladen, einschließlich aller erstellten Beiträge und Direktnachrichten, obwohl keines dieser Konten verifizierten Benutzern gehörte. Twitter vermutete auch, dass ihre Direktnachrichten auf 36 andere Konten zugegriffen, aber nicht heruntergeladen wurden, darunter der Abgeordnete des niederländischen Parlaments, Geert Wilders , glaubte jedoch, dass kein anderer aktueller oder ehemaliger gewählter Beamter auf ihre Nachrichten zugegriffen hatte.

Angriffsmethode

Als Twitter am 15. Juli daran arbeitete, die Situation zu lösen, wurde Vice von mindestens vier Personen kontaktiert, die behaupteten, Teil des Betrugs zu sein, und präsentierten der Website Screenshots, die zeigten, dass sie Zugang zu einem ebenfalls bekannten Twitter-Verwaltungstool erhalten hatten als "Agenten-Tool", das es ihnen ermöglichte, verschiedene Einstellungen auf Kontoebene einiger der kompromittierten Konten zu ändern, einschließlich Bestätigungs-E-Mails für das Konto. Dies ermöglichte es ihnen, E-Mail-Adressen festzulegen, über die jeder andere Benutzer mit Zugriff auf dieses E-Mail-Konto ein Passwort zurücksetzen und die Tweets posten konnte. Diese Hacker sagten Vice, dass sie Insider bei Twitter bezahlt hätten, um Zugang zum Verwaltungstool zu erhalten, um dies durchzuziehen.

TechCrunch berichtete ähnlich, basierend auf einer Quelle, die angab, dass einige der Nachrichten von einem Mitglied eines Hacker-Forums namens "OGUsers" stammten, das behauptet hatte, damit über 100.000 US-Dollar verdient zu haben. Laut TechCrunch ‚s Quelle, dieses Mitglied‚Kirk‘hatte Berichten zufolge erhielten Zugang zum Twitter Verwaltungstool wahrscheinlich durch ein kompromittierten MitarbeiterKonto, und nach anfänglichem jedem Konto auf Anfrage zu übernehmenbietet wechselte Strategien zur Zielkryptowährung Konten beginnend mit Binance und dann hochkarätige. Die Quelle glaubte nicht, dass Kirk einen Twitter-Mitarbeiter für den Zugriff bezahlt hatte.

Das Twitter "@6" hatte Adrian Lamo gehört , und der Benutzer, der das Konto im Namen von Lamos Familie verwaltete, berichtete, dass die Gruppe, die den Hack durchführte, zahlreiche Sicherheitsfaktoren, die sie auf dem Konto eingerichtet hatte, umgehen konnte, darunter zwei Faktoren Authentifizierung , was weiter darauf hinweist, dass die Verwaltungstools verwendet wurden, um die Kontosicherheit zu umgehen. Sprecher des Weißen Hauses erklärten, dass der Account von Präsident Donald Trump , der möglicherweise ein Ziel war, nach einem Vorfall im Jahr 2017 zusätzliche Sicherheitsmaßnahmen bei Twitter implementiert hatte und daher nicht von dem Betrug betroffen war.

Vice s und TechCrunch ‘ s Quellen wurden durch bestätigt die New York Times , das zu ähnlichen Personen sprach mit den Ereignissen beteiligt ist , und von anderen Sicherheitsexperten , die ähnlichen Bildschirm gegeben worden war, und Tweets dieser Bildschirm gemacht worden war, aber Twitter entfernt diese, da sie persönliche Details der kompromittierten Konten preisgegeben haben. Die New York Times bestätigte weiter, dass der Vektor des Angriffs damit zusammenhängt, dass der größte Teil des Unternehmens inmitten der COVID-19-Pandemie von zu Hause aus arbeitete. die OGUsers-Mitglieder konnten Zugang zum Slack- Kommunikationskanal der Twitter-Mitarbeiter erhalten, in dem Informationen und Autorisierungsprozesse für den Remote-Zugriff auf die Server des Unternehmens von zu Hause aus gepinnt waren.

Twitter bestätigte anschließend, dass es sich bei dem Betrug um Social Engineering handelte , und erklärte: "Wir haben einen unserer Meinung nach koordinierten Social-Engineering-Angriff von Leuten entdeckt, die erfolgreich einige unserer Mitarbeiter mit Zugriff auf interne Systeme und Tools ins Visier genommen haben." Twitter hat nicht nur weitere Schritte unternommen, um die betroffenen verifizierten Konten zu sperren, sondern auch eine interne Untersuchung eingeleitet und den Zugriff der Mitarbeiter auf ihre Systemverwaltungstools eingeschränkt, während sie die Situation bewerten und ob zusätzliche Daten durch die kompromittiert wurden böswillige Benutzer.

Bis Ende des 17. Juli 2020 bestätigte Twitter die Erkenntnisse aus diesen Medienquellen und erklärte: „Die Angreifer haben erfolgreich eine kleine Anzahl von Mitarbeitern manipuliert und ihre Zugangsdaten verwendet, um auf die internen Systeme von Twitter zuzugreifen, einschließlich unseres Zwei-Faktoren-Schutzes Ab sofort wissen wir, dass sie auf Tools zugegriffen haben, die nur unseren internen Support-Teams zur Verfügung stehen." Twitter konnte bis zum 30. Juli außerdem bestätigen, dass es sich bei der verwendeten Methode um einen sogenannten "Phone Spear Phishing-Angriff" handelte: Sie nutzten zunächst Social Engineering, um die Anmeldeinformationen von Twitter-Mitarbeitern auf niedrigerer Ebene zu knacken, die keinen Zugriff auf die Admin-Tools hatten , und dann mithilfe dieser Mitarbeiterkonten, die an zusätzlichen Social-Engineering-Angriffen beteiligt waren, um die Anmeldeinformationen für die Admin-Tools von Mitarbeitern zu erhalten, die für ihre Verwendung autorisiert waren.

Bloomberg News berichtete nach einer Untersuchung mit ehemaligen und aktuellen Twitter-Mitarbeitern, dass bis zu 1500 Twitter-Mitarbeiter und -Partner Zugriff auf die Admin-Tools hatten, die es ermöglichen würden, Konten wie während des Vorfalls zurückzusetzen. Ehemalige Twitter-Mitarbeiter hatten Bloomberg mitgeteilt,dass diejenigen mit Zugang sogar noch 2017 und 2018 ein Spiel mit diesen Tools machen würden, um berühmte Prominente zu verfolgen, obwohl die Datenmenge, die allein durch die Tools sichtbar ist, auf Elemente wie IP-Adresse und Geolocation- Informationen beschränkt war . Ein Twitter-Sprecher sagte gegenüber Bloomberg, dass sie "umfassende Sicherheitsschulungen und Managementaufsicht" verwenden, um Mitarbeiter und Partner mit Zugriff auf die Tools zu verwalten, und dass es "keinen Hinweis darauf gibt, dass die Partner, mit denen wir im Kundenservice und in der Kontoverwaltung zusammenarbeiten, eine Rolle gespielt haben". Hier". Ehemalige Mitglieder der Sicherheitsabteilungen von Twitter gaben an, dass das Unternehmen seit 2015 auf das Potenzial eines Insider-Angriffs und anderer Cybersicherheitsmaßnahmen aufmerksam gemacht wurde, diese jedoch zugunsten umsatzgenerierender Initiativen zurückgestellt wurden.

Ars Technica hat einen detaillierteren Bericht von einem Forscher erhalten, der mit dem FBI an der Untersuchung zusammengearbeitet hat. Laut diesem BerichtdurchsuchtenAngreifer LinkedIn auf der Suche nach Twitter-Mitarbeitern, die wahrscheinlich über Administratorrechte für Kontoinhaber-Tools verfügen. Dann erlangten Angreifer die Handynummern und andere private Kontaktinformationen dieser Mitarbeiter über kostenpflichtige Tools, die LinkedIn den Personalvermittlern zur Verfügung stellt. Nachdem sie Opfer für die nächste Stufe ausgewählt hatten, kontaktierten die Angreifer Twitter-Mitarbeiter, von denen die meisten aufgrund der COVID-19-Pandemie von zu Hause aus arbeiteten, und gaben unter Verwendung der Informationen von LinkedIn und anderen öffentlichen Quellen vor, Twitter-Mitarbeiter zu sein. Angreifer wiesen die Opfer an, sich bei einem gefälschten internen Twitter-VPN anzumelden. Um die Zwei-Faktor-Authentifizierung zu umgehen, gaben Angreifer gestohlene Zugangsdaten in das echte Twitter-VPN-Portal ein und "innerhalb von Sekunden, nachdem die Mitarbeiter ihre Daten in das gefälschte eingegeben hatten" und forderten die Opfer auf, den Zwei-Faktor-Authentifizierungscode einzugeben.

Täter

Der Sicherheitsforscher Brian Krebs bestätigte mit der Quelle von TechCrunch und mit Informationen von Reuters, dass der Betrug anscheinend von der Gruppe "OGUsers" stammt. Das OGUsers-Forum ("OG" steht für "Original") wurde für den Verkauf und Kauf von Social-Media-Konten mit kurzen oder "seltenen" Namen eingerichtet, und laut seinem Besitzer, der mit Reuters sprach, war der Handel mit gehackten Zugangsdaten verboten. Screenshots aus dem Forum zeigen verschiedene Benutzer des Forums, die anbieten, sich für jeweils 2.000 bis 3.000 US-Dollar in Twitter-Konten zu hacken . Krebs sagte, eines der Mitglieder könnte mit der Übernahme des Twitter-Accounts von Twitter-CEO Jack Dorsey im August 2019 in Verbindung gebracht worden sein. Der Besitzer von OGUsers teilte Reuters mit, dass die in den Screenshots gezeigten Konten inzwischen gesperrt wurden.

Das FBI gab am 16. Juli bekannt, dass es eine Untersuchung des Betrugs einleitet, da er verwendet wird, um "Kryptowährungsbetrug aufrechtzuerhalten", eine Straftat. Der Geheimdienstausschuss des Senats plante auch, Twitter um zusätzliche Informationen zu dem Hack zu bitten, da der stellvertretende Vorsitzende des Ausschusses, Mark Warner, erklärte: „Die Fähigkeit von schlechten Schauspielern, prominente Konten zu übernehmen, auch nur flüchtig, signalisiert eine besorgniserregende Verwundbarkeit in diesem Medienumfeld , die nicht nur für Betrügereien ausgenutzt werden kann, sondern auch für wirkungsvollere Bemühungen, Verwirrung, Verwüstung und politischen Unfug zu verursachen". Das britische National Cyber ​​Security Center teilte mit, seine Beamten hätten sich bezüglich des Vorfalls an Twitter gewandt. BitTorrent- CEO Justin Sun kündigte ein Kopfgeld in Höhe von 1 Million US-Dollar gegen die Hacker an. "

Das US-Justizministerium gab am 31. Juli 2020 die Festnahme und Anklage von drei Personen bekannt, die mit dem Betrug in Verbindung stehen. Ein 19-Jähriger aus dem Vereinigten Königreich wurde in mehreren Fällen der Verschwörung zum Begehen von Drahtbetrug und der Verschwörung zur Begehung von Geld angeklagt Geldwäsche und den vorsätzlichen Zugriff auf einen geschützten Computer, und ein 22-jähriger aus Florida wurde der Beihilfe zum internationalen Zugriff angeklagt. Beide werden vor dem US-Bezirksgericht für den nördlichen Bezirk von Kalifornien verhandelt . Eine dritte Person, ein Minderjähriger aus Florida, wurde ebenfalls angeklagt, aber aufgrund ihres Alters wurden die Anklagen vor dem Jugendgericht in Florida besiegelt. Der Staat wird ihn als Erwachsenen wegen über dreißig Anklagen im Zusammenhang mit Straftaten, einschließlich organisiertem Betrug, Kommunikationsbetrug, Identitätsdiebstahl und Hacking, vor Gericht stellen. Der Teenager aus Florida bekannte sich am 4. August 2020 nicht schuldig. Der Teenager akzeptierte bis März 2021 eine Vereinbarung, die eine dreijährige Gefängnisstrafe einschließlich der Zeit, die als "jugendlicher Straftäter" diente, beinhaltete, obwohl er während der Zeit 18 Jahre alt geworden war Versuch.

Eine vierte Person, ein 16-Jähriger aus Massachusetts, war vom FBI als möglicher Verdächtiger des Betrugs identifiziert worden. Obwohl Bundesagenten Ende August 2020 eine gerechtfertigte Durchsuchung seines Besitzes durchgeführt hatten, wurden noch keine Anklagen erhoben.

Reaktion und Folgen

Betroffene Benutzer konnten nur Inhalte retweeten, was dazu führte, dass NBC News ein temporäres, nicht verifiziertes Konto einrichtete, damit sie weiterhin twittern und „bedeutende Updates“ auf ihrem Hauptkonto retweeten konnten. Einige Vorhersagebüros des National Weather Service waren nicht in der Lage, Unwetterwarnungen zu twittern, während der National Weather Service Lincoln, Illinois, zunächst keine Tornado-Warnung twittern konnte . Joe Bidens Kampagne erklärte gegenüber CNN, dass sie „in dieser Angelegenheit mit Twitter in Kontakt“ seien und dass sein Konto „gesperrt“ worden sei. Aufgrund dieser Sicherheitsprobleme hat Google sein Twitter-Karussell in seiner Suchfunktion vorübergehend deaktiviert.

Während des Vorfalls, der Aktienkurs Twitter, Inc. fiel um 4% , nachdem die Märkte geschlossen . Am Ende des nächsten Tages endete der Aktienkurs von Twitter, Inc. bei 36,40 USD, ein Minus von 38 Cent oder 0,87 %.

Sicherheitsexperten äußerten Bedenken, dass der Betrug zwar in Bezug auf die finanziellen Auswirkungen relativ gering gewesen sein mag, die Möglichkeit der Übernahme von Social Media durch Social Engineering, an dem Mitarbeiter dieser Unternehmen beteiligt sind, jedoch eine große Bedrohung für die Nutzung von Social Media darstellt, insbesondere in der Hauptrolle -bis zu den Präsidentschaftswahlen in den USA 2020 und könnte möglicherweise zu einem internationalen Vorfall führen. Alex Stamos von der Stanford University ‚s Zentrum für internationale Sicherheit und Zusammenarbeit sagte : ‚Twitter die wichtigste Plattform worden ist , wenn es um die Diskussion zwischen den politischen Eliten kommt, und es hat echte Schwachstellen.‘

Twitter entschied sich, die Einführung seiner neuen API nach den Sicherheitsproblemen zu verschieben. Bis September gab Twitter an, neue Protokolle eingeführt zu haben, um ähnliche Social-Engineering-Angriffe zu verhindern in der Kundenbetreuung tätig sind, an Schulungen teilnehmen, um sich über zukünftige Social-Engineering-Betrügereien zu informieren.

Obwohl Steve Wozniak nicht Teil des Twitter-Vorfalls war, leiteten Steve Wozniak und siebzehn andere in der folgenden Woche eine Klage gegen Google ein und behaupteten, das Unternehmen habe nicht genügend Schritte unternommen, um ähnliche Bitcoin-Betrugsvideos zu entfernen, die auf YouTube veröffentlicht wurden und die seinen und den Namen der anderen Kläger verwendeten. betrügerisch behauptet, den Betrug zu unterstützen. Die Beschwerde von Wozniak ergab, dass Twitter noch am selben Tag handeln konnte, während auf die Anfragen der anderen Kläger an Google nie reagiert worden war.

Am 29. September 2020 stellte Twitter Rinki Sethi nach dem Verstoß als CISO und VP des Unternehmens ein.

Verweise

Externe Links