Twitter enthüllt, wie der Bitcoin-Betrug passieren konnte

Ein erneut aktualisiertes Post Mortem des inzwischen bekannten Twitter-Hacks bestätigt, dass Mitarbeiter einem „Phishing-Angriff mit dem Phonespeer“ ausgesetzt waren.

Dabei handelt es sich um eine raffinierte Form des Phishing, bei der böswillige Akteure bestimmte Unternehmen oder Einzelpersonen per Telefonanruf ins Visier nehmen. Während dieser Anrufe können sie das Opfer dazu bringen, Passwörter oder andere Informationen herauszugeben, die für den Zugang zu den internen Tools von Twitter verwendet werden.

Anzeige
riobet

„Der Angriff am 15. Juli 2020 richtete sich mit einer Phishing-Attacke mit dem Phonespeer gegen eine kleine Anzahl von Mitarbeitern“, sagte Twitter gestern in einem Tweet und fügte hinzu: „Dieser Angriff beruhte auf einem bedeutenden und konzertierten Versuch, bestimmte Mitarbeiter irrezuführen und menschliche Schwachstellen auszunutzen, um Zugang zu unseren internen Systemen zu erhalten.“

Twitter führte aus, dass die Hacker nach der Beschlagnahmung von Mitarbeiterausweisen weitere Mitarbeiter ins Visier nahmen und schließlich in den so genannten „God Mode“, alias Twitters Admin-Panel, einbrachen.

Zuvor hatte Twitter die Vorgehensweise des Hackers lediglich als „Social Engineering“ bezeichnet, ohne weitere Einzelheiten zu nennen. Die Plattform behauptete, dass über 130 Twitter-Accounts kompromittiert wurden, da es den Hackern gelang, einen Bitcoin-Phishing-Betrug von 45 dieser Accounts zu twittern – darunter Barack Obama, Elon Musk, Bill Gates und der demokratische Präsidentschaftskandidat Joe Biden.

Es war nicht nur Bitcoin, das sie gestohlen haben. Per Twitter erhielten die Angreifer Zugang zu den direkten Nachrichten von 36 Opfern, indem sie die persönlichen Daten von sieben Personen heruntergeladen haben.

Twitter enthüllt

In den Wochen nach dem Angriff ist das Ausmaß der Sicherheitsmängel von Twitter ans Licht gekommen. In der vergangenen Woche wurde berichtet, dass über 1.000 Twitter-Mitarbeiter und sogar externe Auftragnehmer Zugang zum sogenannten „God Mode“-Verwaltungspanel der Plattform hatten.

Später enthüllte Bloomberg, dass in den Jahren 2017 und 2018 die fraglichen Auftragnehmer – die bei der Wartung der Plattform und bei der Beantwortung von Helpdesk-Anfragen halfen – gefälschte Support-Tickets einsetzten, um Beyonce zu beschnüffeln und die Geolokalisierungsdaten des Popstars und andere private Informationen zu verfolgen. Twitter bestritt später die Anschuldigungen.

„Wir haben keinen Hinweis darauf, dass die Partner, mit denen wir im Kundenservice und in der Kontoverwaltung zusammenarbeiten, hier eine Rolle gespielt haben“, sagte ein Twitter-Sprecher gegenüber Bloomberg.

Sowohl Twitter als auch das FBI untersuchen weiterhin, was passiert ist.

Textnachweis: Decrypt, Will Heasman

Crypto Launchpad: Die beste Telegram Gruppe!

  • Neutrale Markt-Analysen
  • Täglich neu zusammengefasst: die Gewinner/Verlierer der letzten 24h
  • Alles rund um den gegenwärtigen NFT-Hype
9.6/10

Lucky Block: Beste Kryptowährung 2022!

  • Krypto-Lotterie, bei der jeder ein Gewinner ist!
  • Basiert auf Blockchain-Protokolle
  • Keine Gebühren, 100% Auszahlungsquote
9.5/10

Defi Coin (DEFC): Bester Defi Coin 2022!

  • DeFi Coin mit dem meisten Potential 2022
  • Reflektion, LP Akquirierung und Token Burn sorgt für langfristige Tokenomics
  • 1.000%-Rallye möglich!
9.5/10
Kryptowährungen sind ein sehr volatiles, unreguliertes Investmentprodukt. Ihr Kapital ist im Risiko.