Twitter wurde am Mittwoch, dem 15. Juli, Opfer eines Social-Engineering-Cyberangriffs. Das Ziel : Internetnutzer um ihre Kryptowährungen zu betrügen.
Die Hacker haben die Kontrolle über mehr als 130 Konten übernommen (Quelle: Les Echos). Sie haben die Identität berühmter Persönlichkeiten und vertrauenswürdiger Unternehmen missbraucht: Barack Obama, Elon Musk, Jeff Bezos, Joe Biden, Bill Gates, Kanye West, aber auch Bitcoin, Apple und Uber, Binance und viele andere.
Twitter: Mit Bitcoin betrogen
Die Hacker schickten einen Tweet an jede der Internet-Communities. Sie garantierten ihnen ein unwiderstehliches Angebot: Investiere 1.000 Dollar innerhalb von 30 Minuten und erhalte das Doppelte, also 2.000 Dollar, zurück.
Mehr als eine Stunde nach dem Angriff konnten viele Internetnutzer nicht mehr twittern. Diese Entscheidung war eine der ersten Sicherheitsmaßnahmen, die Twitter nach der Warnung vor dem Cyberangriff ergriffen hatte. Hinzu kam, dass es unmöglich war, Passwörter zurückzusetzen.
Laut Blockchain.com gelang es den Betrügern dennoch, fast 12,58 Bitcoins (etwa 116.000 Dollar oder 101.000 Euro) zu erbeuten. Die (einzigartige) Transaktionsadresse der Betrüger verzeichnete außerdem mehr als 350 Geldtransfers.
Phishing per Telefon über Twitter und Social-Engineering-Cyberangriff
Twitter bestätigte, dass es sich tatsächlich um einen „koordinierten Social-Engineering-Angriff“ handelte. Dieser richtete sich „erfolgreich gegen einige unserer Mitarbeiter, die Zugang zu unseren internen Tools haben“ (Quelle: Le Monde).
Die Mitarbeiter von Twitter, die von Hackern über einen Phishing-Angriff per Telefon ausgetrickst wurden, sollen ihnen Zugang zu einem internen Tool von Twitter verschafft haben. Dieses Tool, ein Kontrollpanel, ermöglicht den Zugriff auf die Verwaltung von Twitter-Konten. Auf diese Weise gelang es den Hackern, die Kontrolle über mehrere E-Mail-Adressen zu übernehmen, um die Identität einflussreicher Persönlichkeiten und Unternehmen zu missbrauchen.
Die menschliche Anfälligkeit wird immer eine Schwachstelle jeder Strategie zur Risikominderung bleiben. Die Schaffung einer Kultur der Sicherheitsbewusstsein am Arbeitsplatz kann dazu beitragen, diese Risiken zu verringern.
Dieser Cyberangriff diskreditiert Twitter
Es ist nicht das erste Mal, dass Twitter sich mit einem Sicherheitsproblem auseinandersetzen muss. Jedes Mal wird sein Image dadurch beschädigt. Diesmal umso mehr, da laut Bloomberg Mitarbeiter eines Subunternehmers interne Tools von Twitter nutzten, um die Konten bestimmter internationaler Prominenter auszuspionieren. Das Abrufen von Informationen, Standortdaten usw. sind böswillige Cyber-Aktionen, die dem Image des blauen Vogels schaden! Diese Praktiken waren intern bekannt, wurden aber nie unterbunden! (Quelle: La Nouvelle Tribune).
Was ist ein Social-Engineering-Cyberangriff?
Social Engineering ist eine Technik der psychologischen Manipulation, die von Hackern eingesetzt wird, um an Informationen (Daten, Passwörter, Zugangsdaten usw.) zu gelangen. Diese Praxis basiert auf dem Missbrauch von Vertrauen und der Ausnutzung menschlicher Schwächen. Um Informationen über ihr Ziel zu erhalten, zögern Hacker nicht, Nachforschungen anzustellen: per E-Mail, über soziale Netzwerke, Telefonanrufe und sogar bei „harmlosen Begegnungen und Gesprächen” auf der Straße.
In der Regel sind sich die Opfer nicht bewusst, dass sie getäuscht werden, da Hacker mit ihren Emotionen und/oder Interessen spielen, um sie zu betrügen. Angst, Stress, Begeisterung usw.: Tatsächlich ist es einfacher, menschliche Schwächen auszunutzen, als zu versuchen, technische Schwachstellen von Organisationen zu hacken.
Es war beispielsweise diese Art von Cyberangriff, von der Snapchat im Jahr 2016 betroffen war. Ein Hacker hatte sich als Leiter der Personalabteilung ausgegeben und eine Phishing-E-Mail an einen Mitarbeiter geschickt. Der Mitarbeiter, der darauf hereingefallen war, schickte ihm daraufhin die Datei mit den Gehaltsabrechnungen der Mitarbeiter des Unternehmens.
Daher ist es wichtig, wachsam zu bleiben, was im Internet veröffentlicht wird, und zu wissen, wie man sich verhalten muss, um Angriffe durch Social Engineering zu vermeiden.
