Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Schulungen zum Sicherheitsbewusstsein

    Twitter-Hack unterstreicht Notwendigkeit von Schulungen zum Sicherheitsbewusstsein

    Ein Social-Engineering-Angriff ermöglichte es Hackern, in die Verwaltungssysteme von Twitter einzudringen und hochkarätige Konten zu kapern, was die weitreichenden Auswirkungen von Cyber-Sicherheitslücken verdeutlicht.

    by Mercedes Cardona
    lock-secure-unsplash.jpg

    Wichtige Punkte

    • Die Behörden untersuchen einen Twitter-Hack, bei dem die Konten von Spitzenpolitikern und Wirtschaftsführern gekapert und betrügerische Nachrichten mit der Bitte um Kryptowährungsspenden gepostet wurden.
    • Nach Angaben von Twitter begann der Hack mit einem Social-Engineering-Angriff, bei dem administrative Konten kompromittiert wurden.
    • Der Betrug unterstreicht die Notwendigkeit angemessener interner Sicherheitskontrollen in Verbindung mit Schulungen zum Sicherheitsbewusstsein, um ausgeklügelte Social Engineering-Angriffe zu erkennen und zu verhindern.

    In einer der außergewöhnlichsten und aufsehenerregendsten Cyberattacken, die jemals bekannt wurden, haben Hacker am 15. Juli die Verwaltungssysteme von Twitter kompromittiert und die Social-Media-Konten prominenter Politiker und Wirtschaftsführer gekapert. Die Angreifer nutzten diese Konten dann, um sich als die Opfer auszugeben und um Spenden in Bitcoin zu bitten.

    "Ich gebe der Gemeinschaft etwas zurück", tweeteten sie. "Alle Bitcoin, die an die unten angegebene Adresse geschickt werden, werden verdoppelt zurückgeschickt!" [1] In den ersten 24 Stunden haben die Tweets Berichten zufolge mehr als 400 Transaktionen im Wert von über 121.000 Dollar in Bitcoin und Ripple, einer anderen Kryptowährung, angezogen. [2]

    Twitter teilte mit, es sei Opfer "eines koordinierten Social-Engineering-Angriffs von Personen, die erfolgreich auf einige unserer Mitarbeiter mit Zugang zu internen Systemen und Tools abzielten". Die Kompromittierung ermöglichte es Betrügern, die Kontrolle über diese Konten zu übernehmen und in deren Namen zu twittern, so das Unternehmen. [3]

    Der Angriff unterstreicht die Notwendigkeit angemessener interner Kontrollen sowie von Schulungen zum Sicherheitsbewusstsein, um Mitarbeiter in die Lage zu versetzen, ausgeklügelte Social-Engineering-Angriffe zu erkennen und zu verhindern, sagte Francis Gaffney, Director of Threat Intelligence bei Mimecast. "Social-Engineering-Angriffe sind in der Regel ziemlich ausgeklügelt und können eine umfangreiche Analyse der Lebensmuster beinhalten, einschließlich der Untersuchung des Ziels, um spezielle maßgeschneiderte Köder zu entwickeln", sagte er.

    "Angemessen verwaltete Zugriffskontrollen für Verwaltungs- oder Überwachungskonten können dazu beitragen, die Ausweitung von Privilegien oder den Missbrauch von Berechtigungen zu verhindern, auf die sich dieser spezielle Angriff stützte", fügte Gaffney hinzu. "Dies muss sich ändern, um weitere erfolgreiche Angriffe wie diesen zu verhindern, die für jedes Unternehmen einen massiven Imageschaden bedeuten können."

    Persönlichkeiten des öffentlichen Lebens im Visier

    Die Hacker nutzten ihren administrativen Zugang, um die Konten politischer Persönlichkeiten wie des ehemaligen Präsidenten Barack Obama, des ehemaligen Bürgermeisters von New York City, Michael Bloomberg, und des Präsidentschaftskandidaten Joe Biden zu kapern. Die Cyberkriminellen hackten auch die Konten von Unternehmen wie Tesla-CEO Elon Musk, Amazon-CEO Jeff Bezos, Berkshire Hathaway-Gründer Warren Buffett, Microsoft-Gründer Bill Gates und die Unternehmenskonten von Apple und Uber. [4]

    In einer Erklärung teilte Twitter mit, dass es die betroffenen Konten gesperrt und die Tweets entfernt hat. [5] Das Unternehmen teilte außerdem mit, dass es intern umfangreiche Maßnahmen ergriffen hat, um den Zugriff auf interne Systeme und Tools zu beschränken, während es das Problem untersucht.

    Während die Plattform ihre Untersuchung durchführte, fror sie jedoch auch andere Konten ein, die nicht kompromittiert waren. Dies hatte zur Folge, dass einige Influencer, Prominente und andere Nutzer des sozialen Netzwerks daran gehindert wurden, zu twittern oder ihre Passwörter zu ändern. [6] Twitter sagte, dass es die Kontrolle über die kompromittierten Konten innerhalb von zwei Stunden wiedererlangt habe und räumte ein, dass die durch das Einfrieren verursachte Störung zwar erheblich, aber "ein wichtiger Schritt zur Risikominderung" gewesen sei. [7]

    Der Angriff erregte die Gemüter einer Reihe von Twitter-Nutzern, darunter einige, die sich fragten, warum Twitter-Mitarbeiter offenbar über Zugriffsrechte verfügten, die es Angreifern ermöglichten, Nutzerkonten zu übernehmen und damit Tweets zu versenden.

    Vice News berichtete, dass es mit zwei der Cyberkriminellen kommuniziert habe, von denen einer sagte, ein Twitter-Insider habe nicht nur den Zugang zum System ermöglicht, sondern sei auch bezahlt worden. [8]

    Fallout schließt Rufschädigung ein

    Das Potenzial für zusätzliche Reputationsschäden wurde bereits wenige Stunden nach dem Twitter-Hack deutlich, als bekannt wurde, dass das FBI den Hack untersucht. [9] Der Gouverneur von New York, Andrew Cuomo, kündigte an, dass die Finanzaufsichtsbehörde des Bundesstaates ebenfalls Untersuchungen durchführen wird.

    "Der Twitter-Hack und die weit verbreitete Übernahme verifizierter Twitter-Konten ist zutiefst beunruhigend", sagte Cuomo und merkte an, dass dies "Bedenken hinsichtlich der Cybersicherheit unserer Kommunikationssysteme aufwirft, die angesichts der bevorstehenden Präsidentschaftswahlen von entscheidender Bedeutung sind." [10]

    Schulung des Sicherheitsbewusstseins ist der Schlüssel

    Die Episode warf ein Schlaglicht auf die Gefahren von Social-Engineering-Angriffen sowie auf die potenziellen Auswirkungen von Insider-Bedrohungen - egal ob unbeabsichtigt oder absichtlich.

    Gaffney von Mimecast wies darauf hin, dass Social-Engineering-Angriffe extrem ausgeklügelt und sorgfältig recherchiert sein können und meist zu finanziellen Zwecken durchgeführt werden. "Der Bedrohungsakteur studiert die Online-Präsenz der Zielperson, einschließlich ihrer Nutzung sozialer Medien, um soziale und familiäre Netzwerke, Lieblingsrestaurants, Hobbys, sportliche oder musikalische Interessen zu identifizieren", sagte er.

    Die Mimecast-Umfrage State of Email Security 2020 ergab, dass 60 % der Unternehmen im letzten Jahr eine Zunahme von Betrugsversuchen unter Verwendung von Social-Engineering-Methoden festgestellt haben. [11] "Damit diese Angriffe erfolgreich sind, ist menschliches Versagen erforderlich, was unterstreicht, wie wichtig regelmäßige Cyber-Sensibilisierungsschulungen sind, um das Wissen der Mitarbeiter über die von Bedrohungsakteuren verwendeten Methoden zu verbessern", so Gaffney.

    Viele Unternehmen lassen sich jedoch angreifbar machen, fügte er hinzu. Von den Unternehmen, die von Mimecast weltweit befragt wurden, führen 55 % nicht regelmäßig Schulungen zur Sensibilisierung durch, und nur 21 % der Unternehmen bieten monatliche Schulungen an.

    Die Quintessenz

    Der Twitter-Hack veranschaulicht die weitreichenden Auswirkungen von Sicherheitsmängeln im Internet. Social-Engineering-Angriffe können selbst für die technologisch fortschrittlichsten Unternehmen ernsthafte Probleme verursachen, was die Notwendigkeit angemessener interner Kontrollen in Verbindung mit einer wirksamen Schulung des Sicherheitsbewusstseins unterstreicht.

     

    [1] " Twitter-Konten namhafter Nutzer wurden durch Bitcoin-Betrug gehackt ," New York Magazine

    [2] "Twitter-Hacker, die es auf Elon Musk und andere abgesehen hatten, erhielten $121.000 in Bitcoin, wie eine Analyse zeigt" CNBC.com

    [3] Erklärung von Twitter

    [4] " Twitter-Konten namhafter Nutzer wurden durch Bitcoin-Betrug gehackt ," New York Magazine

    [5] Erklärung von Twitter

    [6] Twitter-Statements

    [7] Twitter-Aussagen

    [8] "Hacker überzeugten Twitter-Mitarbeiter, ihnen beim Hijacken von Konten zu helfen", Vice

    [9] "Exklusiv: U.S. FBI leitet eine Untersuchung des Twitter-Hacks, sagen Quellen," Reuters

    [10] "Gouverneur Cuomo weist den Staat an, eine umfassende Untersuchung des Twitter-Hacks durchzuführen", NY press release

    [11] "Der Stand der E-Mail-Sicherheit 2020", Mimecast

    getty-working-from-train.jpg
    Nächster Punkt
    Schulungen zum Sicherheitsbewusstsein |
    Die Rolle der Schulung von Führungskräften beim Aufbau einer Cybersecurity-Kultur

    Verwandte Artikel

    Schulungen zum Sicherheitsbewusstsein
    Mimecast Recognized in Forrester’s First-Ever Human Risk Management Solutions Landscape
    Schulungen zum Sicherheitsbewusstsein
    Der Wert eines Dashboards in der Schulung zum Bewusstsein für Cybersicherheit
    Schulungen zum Sicherheitsbewusstsein
    Phishing-Simulationen stärken das Cyber-Bewusstsein und die Abwehrkräfte

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang