Der
Twitter-Hack der letzten Woche, der verschiedene äusserst prominente User
betraf, könnte als Schulbeispiel für Social Engineering in die Geschichte
eingehen – falls die Story in der schnelllebigen Digital Society in ein paar
Jahren überhaupt noch jemanden interessieren wird. Jedenfalls wurde der Täter
gefunden (in Florida) und verhaftet.
 |
Drei Punkte aus der 30-Punkte-Aklageschrift gegen den Twitter-Hacker. Der junge Täter wurde in der Zwischenzeit gegen eine hohe Kaution aus der Haft entlassen. |
Gemäss
Presseberichten heisst der gerade mal 17jährige Cyberkriminelle Graham Ivan
Clark. Er übernahm Mitte Juli 130 Twitter-Konten von sehr prominenten Menschen
und wollte damit Bitcoin verdienen. Was ihm auch gelang. Bevor er geschnappt
wurde, gingen immerhin 117‘000 Dollar auf seinem Konto ein - in einem einzigen Nachmittag. Clark scheute auch
vor ganz grossen Namen nicht zurück: Er hackte unter anderem die Twitter-Konten
von Jeff Bezos, Elon Musk, Kim Kardashian, Joe Biden und Barack Obama.
Doch wie gelang es dem Jüngling (der mit zwei Kollegen zusammenarbeitete) alle Sicherheitsvorkehrungen zu umgehen (zu
denen auch Zwei-Faktor-Authentifizierung gehört) und dann noch die persönlichen
Passwörter der betroffenen Weltprominenz zu knacken? Standen ihm raffinierte
Hacking-Tools zur Verfügung, mit denen er, wie im Film, in kurzer Zeit sein
Ziel erreichte? Es war viel einfacher: Graham Clark rief bei Twitter an, und überzeugte den Mitarbeiter am anderen Ende davon,
dass er ein Kollege sei, der für Supportzwecke Anmeldeinformationen benötige. Diese
Informationen bekam er dann auch – und der Hack nahm seinen Lauf. Wie Twitter
bekannt gab, wurden von 45 der geknackten Konten
Tweets verschickt. In 36 Fällen stöberte der Hacker im
Direktnachrichten-Postfach der Betroffenen herum, und in sieben Fällen wurden gar
Daten heruntergeladen.
Die
Angelegenheit zeigt deutlich, dass die raffiniertesten Sicherheitssysteme nutzlos
sind, wenn Mitarbeiter, die zugriffsberechtigt sind, Betrügern auf den Leim
gehen. Twitter will sich denn in dieser Beziehung auch bessern. In einer
offiziellen Verlautbarung hat das Unternehmen eingeräumt, dass Mitarbeiter dazu
verleitet worden seien, sensible Informationen per Telefon auszutauschen, und
dass man deshalb beschlossen habe, den Zugang zu den internen Twitter-Tools
vorübergehend einzuschränken. Man versuche jetzt, das ganze Ausmass der Angelegenheit
zu verstehen und gleichzeitig die Sicherheitsprotokolle zu verbessern, um sie
"noch ausgefeilter zu machen".
Für den jungen Hacker wird die Angelegenheit ernsthafte Folgen haben. Staatliche Behörden haben Clark als Erwachsenen nach Florida-Recht und nicht nach Bundesrecht angeklagt, weil es sich um einen Finanzbetrugsfall handelt. Die Wirtschaftsagentur Bloomberg zitiert den US-Staatsanwalt David Anderson, der andere Möchtegern-Hacker warnt:
Für den jungen Hacker wird die Angelegenheit ernsthafte Folgen haben. Staatliche Behörden haben Clark als Erwachsenen nach Florida-Recht und nicht nach Bundesrecht angeklagt, weil es sich um einen Finanzbetrugsfall handelt. Die Wirtschaftsagentur Bloomberg zitiert den US-Staatsanwalt David Anderson, der andere Möchtegern-Hacker warnt:
„Es gibt diese falsche Annahme unter Hackern, dass sie Angriffe wie den Twitter-Hack anonym und ohne Konsequenzen durchführen können. Die Anklage zeigt, dass das Hochgefühl der Hacker aus Spass oder Profit nur von kurzer Dauer sein wird".Konsequenzen hin oder her: Das Hacker-Geschäft scheint sich wirklich zu lohnen: Auf dem Bitcoin-Konto des Angeklagten liegen 300 Bitcoin, das sind etwa 3,4 Millionen Dollar. Das Geld war bereits früher einmal beschlagnahmt, dann wieder zurückerstattet worden... Die Kaution im aktuellen Fall wurde vom Richter auf 725'000 Dollar gesetzt.
No comments:
Post a Comment