Twitter enthüllt, wie der Bitcoin-Betrug passieren konnte

Ein erneut aktualisiertes Post Mortem des inzwischen bekannten Twitter-Hacks bestätigt, dass Mitarbeiter einem „Phishing-Angriff mit dem Phonespeer“ ausgesetzt waren.

Dabei handelt es sich um eine raffinierte Form des Phishing, bei der böswillige Akteure bestimmte Unternehmen oder Einzelpersonen per Telefonanruf ins Visier nehmen. Während dieser Anrufe können sie das Opfer dazu bringen, Passwörter oder andere Informationen herauszugeben, die für den Zugang zu den internen Tools von Twitter verwendet werden.

„Der Angriff am 15. Juli 2020 richtete sich mit einer Phishing-Attacke mit dem Phonespeer gegen eine kleine Anzahl von Mitarbeitern“, sagte Twitter gestern in einem Tweet und fügte hinzu: „Dieser Angriff beruhte auf einem bedeutenden und konzertierten Versuch, bestimmte Mitarbeiter irrezuführen und menschliche Schwachstellen auszunutzen, um Zugang zu unseren internen Systemen zu erhalten.“

The attack on July 15, 2020, targeted a small number of employees through a phone spear phishing attack. This attack relied on a significant and concerted attempt to mislead certain employees and exploit human vulnerabilities to gain access to our internal systems.

— Twitter Support (@TwitterSupport) July 31, 2020

Twitter führte aus, dass die Hacker nach der Beschlagnahmung von Mitarbeiterausweisen weitere Mitarbeiter ins Visier nahmen und schließlich in den so genannten „God Mode“, alias Twitters Admin-Panel, einbrachen.

Zuvor hatte Twitter die Vorgehensweise des Hackers lediglich als „Social Engineering“ bezeichnet, ohne weitere Einzelheiten zu nennen. Die Plattform behauptete, dass über 130 Twitter-Accounts kompromittiert wurden, da es den Hackern gelang, einen Bitcoin-Phishing-Betrug von 45 dieser Accounts zu twittern – darunter Barack Obama, Elon Musk, Bill Gates und der demokratische Präsidentschaftskandidat Joe Biden.

Es war nicht nur Bitcoin, das sie gestohlen haben. Per Twitter erhielten die Angreifer Zugang zu den direkten Nachrichten von 36 Opfern, indem sie die persönlichen Daten von sieben Personen heruntergeladen haben.

Twitter enthüllt

In den Wochen nach dem Angriff ist das Ausmaß der Sicherheitsmängel von Twitter ans Licht gekommen. In der vergangenen Woche wurde berichtet, dass über 1.000 Twitter-Mitarbeiter und sogar externe Auftragnehmer Zugang zum sogenannten „God Mode“-Verwaltungspanel der Plattform hatten.

Später enthüllte Bloomberg, dass in den Jahren 2017 und 2018 die fraglichen Auftragnehmer – die bei der Wartung der Plattform und bei der Beantwortung von Helpdesk-Anfragen halfen – gefälschte Support-Tickets einsetzten, um Beyonce zu beschnüffeln und die Geolokalisierungsdaten des Popstars und andere private Informationen zu verfolgen. Twitter bestritt später die Anschuldigungen.

„Wir haben keinen Hinweis darauf, dass die Partner, mit denen wir im Kundenservice und in der Kontoverwaltung zusammenarbeiten, hier eine Rolle gespielt haben“, sagte ein Twitter-Sprecher gegenüber Bloomberg.

Sowohl Twitter als auch das FBI untersuchen weiterhin, was passiert ist.

Textnachweis: Decrypt, Will Heasman

Pepe Unchained - Meme Coin mit eigener Blockchain

• Einzigartiges Ökosystem: Erfolg und Wachstum von Anfang an - nicht verpassen!
• Massives passives Einkommen: Dynamische Staking-Belohnungen mit $PEPU
• Niedrige Transaktionskosten: Ethereum Layer-2 Chain mit Pepe-Meme

10/10

Zum Presale

Crypto All-Stars - Revolutionäres MemeVault für Multi-Token-Staking

• Revolutionäres MemeVault: Verdiene $STARS durch Staking von Meme-Coins in einem einzigartigen Protokoll.
• Weltweites Multi-Token-Staking
• Massives Belohnungspotential
• Ein stark geprüftes, auf ERC-1155 basierendes Staking-System.

9.9/10

Zum Presale

CatSlap - Neuer Meme Coin mit erstaunlichem Gameplay

• Fairlaunch auf DEX – Gleiche Einstiegschance für alle Investoren
• Virales Meme-Coin-Thema – Könnte das nächste Binance-Highlight werden
• Partnerschaft mit Best Wallet – Sicher und zugänglich

9.8/10

Zum Presale