Monday, August 3, 2020

Wie Twitter am Telefon gehackt wurde

Der Twitter-Hack der letzten Woche, der verschiedene äusserst prominente User betraf, könnte als Schulbeispiel für Social Engineering in die Geschichte eingehen – falls die Story in der schnelllebigen Digital Society in ein paar Jahren überhaupt noch jemanden interessieren wird. Jedenfalls wurde der Täter gefunden (in Florida) und verhaftet.


Drei Punkte aus der 30-Punkte-Aklageschrift gegen den Twitter-Hacker.
Der junge Täter wurde in der Zwischenzeit gegen eine hohe Kaution
aus der Haft entlassen.
 Gemäss Presseberichten heisst der gerade mal 17jährige Cyberkriminelle Graham Ivan Clark. Er übernahm Mitte Juli 130 Twitter-Konten von sehr prominenten Menschen und wollte damit Bitcoin verdienen. Was ihm auch gelang. Bevor er geschnappt wurde, gingen immerhin 117‘000 Dollar auf seinem Konto ein - in einem einzigen Nachmittag. Clark scheute auch vor ganz grossen Namen nicht zurück: Er hackte unter anderem die Twitter-Konten von Jeff Bezos, Elon Musk, Kim Kardashian, Joe Biden und Barack Obama.
Doch wie gelang es dem Jüngling (der mit zwei Kollegen zusammenarbeitete) alle Sicherheitsvorkehrungen zu umgehen (zu denen auch Zwei-Faktor-Authentifizierung gehört) und dann noch die persönlichen Passwörter der betroffenen Weltprominenz zu knacken? Standen ihm raffinierte Hacking-Tools zur Verfügung, mit denen er, wie im Film, in kurzer Zeit sein Ziel erreichte? Es war viel einfacher: Graham Clark rief bei Twitter an, und  überzeugte den Mitarbeiter am anderen Ende davon, dass er ein Kollege sei, der für Supportzwecke Anmeldeinformationen benötige. Diese Informationen bekam er dann auch – und der Hack nahm seinen Lauf. Wie Twitter bekannt gab, wurden von 45 der geknackten Konten Tweets verschickt. In 36 Fällen stöberte der Hacker im Direktnachrichten-Postfach der Betroffenen herum, und in sieben Fällen wurden gar Daten heruntergeladen.
Die Angelegenheit zeigt deutlich, dass die raffiniertesten Sicherheitssysteme nutzlos sind, wenn Mitarbeiter, die zugriffsberechtigt sind, Betrügern auf den Leim gehen. Twitter will sich denn in dieser Beziehung auch bessern. In einer offiziellen Verlautbarung hat das Unternehmen eingeräumt, dass Mitarbeiter dazu verleitet worden seien, sensible Informationen per Telefon auszutauschen, und dass man deshalb beschlossen habe, den Zugang zu den internen Twitter-Tools vorübergehend einzuschränken. Man versuche jetzt, das ganze Ausmass der Angelegenheit zu verstehen und gleichzeitig die Sicherheitsprotokolle zu verbessern, um sie "noch ausgefeilter zu machen".
Für den jungen Hacker wird die Angelegenheit ernsthafte Folgen haben. Staatliche Behörden haben Clark als Erwachsenen nach Florida-Recht und nicht nach Bundesrecht angeklagt, weil es sich um einen Finanzbetrugsfall handelt. Die Wirtschaftsagentur Bloomberg zitiert den US-Staatsanwalt David Anderson, der andere Möchtegern-Hacker warnt:  
„Es gibt diese falsche Annahme unter Hackern, dass sie Angriffe wie den Twitter-Hack anonym und ohne Konsequenzen durchführen können. Die Anklage zeigt, dass das Hochgefühl der Hacker aus Spass oder Profit nur von kurzer Dauer sein wird".
Konsequenzen hin oder her: Das Hacker-Geschäft scheint sich wirklich zu lohnen: Auf dem Bitcoin-Konto des Angeklagten liegen 300 Bitcoin, das sind etwa 3,4 Millionen Dollar. Das Geld war bereits früher einmal beschlagnahmt, dann wieder zurückerstattet worden... Die Kaution im aktuellen Fall wurde vom Richter auf 725'000 Dollar gesetzt.

No comments:

Post a Comment