Ein Social-Engineering-Angriff ermöglichte es Hackern, in die Verwaltungssysteme von Twitter einzudringen und hochkarätige Konten zu kapern, was die weitreichenden Auswirkungen von Cyber-Sicherheitslücken verdeutlicht.

Wichtige Punkte

  • Die Behörden gehen einem Twitter-Hack nach, der die Konten von Spitzenpolitikern und Wirtschaftsführern gekapert und betrügerische Nachrichten mit der Bitte um Kryptogeld-Spenden veröffentlicht hat.
  • Laut Twitter begann der Hack mit einem Social-Engineering-Angriff, bei dem Verwaltungskonten kompromittiert wurden.
  • Der Betrug unterstreicht die Notwendigkeit angemessener interner Sicherheitskontrollen in Verbindung mit einer Schulung des Sicherheitsbewusstseins, um ausgeklügelte Social-Engineering-Angriffe zu erkennen und zu verhindern.

Bei einem der außergewöhnlichsten und öffentlichkeitswirksamsten Cyberangriffe, die jemals öffentlich gemacht wurden, haben Hacker am 15. Juli die Verwaltungssysteme von Twitter kompromittiert und die Social Media-Konten prominenter Politiker und Wirtschaftsführer gekapert. Die Angreifer nutzten dann diese Konten, um sich als die Opfer auszugeben und um Spenden in Bitcoin zu bitten.

"Ich gebe der Gemeinschaft etwas zurück", twitterten sie. "Alle Bitcoin, die an die unten angegebene Adresse geschickt werden, werden doppelt zurückgeschickt!"[1] Während der ersten 24 Stunden zogen die Tweets Berichten zufolge mehr als 400 Transaktionen im Wert von über 121.000 Dollar in Bitcoin and Ripple, einer weiteren Krypto-Währung, ein.[2]

Twitter sagte, sie sei das Opfer "eines koordinierten Social Engineering-Angriffs von Leuten, die erfolgreich einige unserer Mitarbeiter mit Zugang zu internen Systemen und Werkzeugen ins Visier genommen haben". Der Kompromiss habe es Betrügern ermöglicht, die Kontrolle über diese Konten zu übernehmen und in ihrem Namen zu twittern, sagte das Unternehmen.[3]

Der Angriff unterstreicht die Notwendigkeit angemessener interner Kontrollen sowie einer Schulung des Sicherheitsbewusstseins, um die Mitarbeiter in die Lage zu versetzen, ausgeklügelte Social-Engineering-Angriffe zu erkennen und zu verhindern, sagte Francis Gaffney, Direktor der Threat Intelligence bei Mimecast. "Social-Engineering-Angriffe sind in der Regel recht raffiniert und können eine umfangreiche Analyse von Lebensmustern beinhalten, einschließlich der Erforschung des Ziels, um spezifische, maßgeschneiderte Köder herzustellen", sagte er.

"Angemessen verwaltete Zugangskontrollen für Verwaltungs- oder Aufsichtskonten können dabei helfen, die Eskalation von Privilegien oder den Missbrauch von Berechtigungen zu verhindern, auf die sich dieser spezielle Angriff stützte", fügte Gaffney hinzu. "Diese müssen geändert werden, um weitere erfolgreiche Angriffe wie diesen zu verhindern, der jedem Unternehmen massiven Reputationsschaden zufügen kann".

Die wichtigsten Persönlichkeiten des öffentlichen Lebens im Visier

Die Hacker nutzten ihren administrativen Zugang, um die Konten von politischen Persönlichkeiten wie dem ehemaligen Präsidenten Barack Obama, dem ehemaligen Bürgermeister von New York City, Michael Bloomberg, und dem Präsidentschaftskandidaten Joe Biden zu entführen. Die Cyberkriminellen hackten auch die Konten von Unternehmensfiguren, darunter Tesla-CEO Elon Musk, Amazon-CEO Jeff Bezos, Berkshire Hathaway-Gründer Warren Buffett, Microsoft-Gründer Bill Gates und die Firmenkonten von Apple und Uber. [4]

In einer Erklärung sagte Twitter, es habe die betroffenen Konten gesperrt und die Tweets entfernt.[5] Das Unternehmen gab auch an, dass es intern erhebliche Schritte unternommen habe, um den Zugang zu internen Systemen und Werkzeugen einzuschränken, während es das Problem untersuchte.

Während die Plattform ihre Untersuchung durchführte, fror sie jedoch auch andere Konten ein, die nicht gefährdet waren. Infolgedessen wurden einige Beeinflusser, Prominente und andere Benutzer des sozialen Netzwerks daran gehindert, ihre Passwörter zu twittern oder zu ändern.[6] Twitter gab an, innerhalb von zwei Stunden die Kontrolle über die kompromittierten Konten wiedererlangt zu haben, und räumte ein, dass die durch das Einfrieren verursachte Unterbrechung zwar erheblich, aber "ein wichtiger Schritt zur Risikominderung" sei.[7]

Der Angriff rief die Hackles einer Reihe von Twitter-Benutzern auf den Plan, darunter einige, die in Frage stellten, warum Twitter-Mitarbeiter offenbar Zugriffsrechte hatten, die es Angreifern ermöglichten, Benutzerkonten zu übernehmen und sie zum Senden von Tweets zu nutzen.

Um das Bild über den Verlauf des Angriffs weiter zu verkomplizieren, berichtete Vice News, dass es mit zwei der Cyberkriminellen kommuniziert habe, von denen einer sagte, ein Twitter-Insider habe nicht nur den Zugang zum System erleichtert, sondern sei auch bezahlt worden.[8]

Fallout schließt Reputationsschäden ein

Das Potenzial für zusätzlichen Reputationsschaden wurde innerhalb weniger Stunden nach dem Twitter-Hack deutlich, als das FBI den Hack untersuchen sollte.[9] Der Gouverneur von New York, Andrew Cuomo, kündigte an, dass das Finanzministerium des Bundesstaates ebenfalls eine Untersuchung einleiten wird. 

"Der Twitter-Hack und die weit verbreitete Übernahme von verifizierten Twitter-Accounts ist zutiefst beunruhigend", sagte Cuomo und bemerkte: "Das wirft Bedenken über die Cybersicherheit unserer Kommunikationssysteme auf, die angesichts der bevorstehenden Präsidentschaftswahlen von entscheidender Bedeutung sind".[10]

Schulung des Sicherheitsbewusstseins ist der Schlüssel

Die Episode warf ein Schlaglicht auf die Gefahren von Social Engineering-Angriffen sowie auf die potenziellen Auswirkungen von Insider-Bedrohungen - ob unbeabsichtigt oder absichtlich. 

Wie Gaffney von Mimecast hervorhob, können Social-Engineering-Angriffe äußerst raffiniert und sorgfältig recherchiert sein und werden meist für finanziellen Gewinn durchgeführt. "Der Bedrohungsakteur untersucht die Online-Präsenz des Ziels, einschließlich ihrer Nutzung sozialer Medien, um soziale und familiäre Netzwerke, Lieblingsrestaurants, Hobbys, sportliche oder musikalische Interessen zu identifizieren", sagte er.

Die Mimecast State of Email Security 2020-Umfrage ergab, dass 60% der Unternehmen im letzten Jahr einen Anstieg des Betrugs mit Identitätsnachahmungen, die Methoden des Social Engineering verwenden, verzeichnet haben.[11] "Menschliches Versagen ist Voraussetzung für den Erfolg dieser Angriffe, was die Bedeutung regelmäßiger Cyber-Sensibilisierungsschulungen unterstreicht, um das Wissen der Mitarbeiter über die von den Bedrohungsakteuren verwendeten Methoden zu erweitern", sagte Gaffney.

Viele Unternehmen machten sich jedoch verwundbar, fügte er hinzu. Von den von Mimecast weltweit befragten Unternehmen bieten 55 % nicht häufig Schulungsmaßnahmen zum Sicherheitsbewusstsein an, und nur 21 % der Unternehmen bieten monatliche Schulungen an.

Was lässt sich daraus schließen?

Der Twitter-Hack veranschaulicht die weitreichenden Auswirkungen der Lücken in der Cybersicherheit. Social-Engineering-Angriffe können selbst für die technologisch anspruchsvollsten Unternehmen ernsthafte Probleme verursachen, was die Notwendigkeit angemessener interner Kontrollen in Verbindung mit einer effektiven Schulung des Sicherheitsbewusstseins unterstreicht.  

 

[1] "Twitter-Accounts von namhaften Nutzern in Bitcoin-Betrug gehackt", New York Magazine

[2] "Twitter-Hacker, die es auf Elon Musk und andere abgesehen hatten, erhielten 121.000 Dollar in Bitcoin, wie die Analyse zeigt" CNBC.com

[3] Stellungnahme von Twitter

[4] "Twitter-Accounts von namhaften Nutzern im Bitcoin-Betrug gehackt", New York Magazine

[5] Stellungnahme von Twitter

[6] Twitter-Statements

[7] Twitter-Statements

[8] "Hacker täuschten Twitter-Mitarbeiter, um ihnen zu Account-Hijacking zu verhelfen.", Vize

[9] "Exklusiv: Das U.S. FBI leitet eine Untersuchung des Twitter-Hacks, sagen Quellen," sagt Reuters

[10] "Gouverneur Cuomo weist Staat an, eine vollständige Untersuchung des Twitter-Hacks durchzuführen", NY-Pressemitteilung

[11] "E-Mail-Sicherheit 2020 - ein Lagebericht", Mimecast

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Cyber Awareness Training hilft bei der Verteidigung der Benutzer gegen Brand-Spoofing-Angriffe...

Die Wahrscheinlichkeit, dass Benutzer eher auf phi...

Die Wahrscheinlichkeit, dass Benutzer auf Phishing-E-Mails hereinfallen, ist größer... Weiterlesen >

Megan Doyle

von Megan Doyle

Mitwirkender Verfasser

Veröffentlicht 06. Juli 2020

Die Anstellung von Mitarbeitern mit kreativen Ideen kann helfen, das Defizit an Cyber-Sicherheitskenntnissen zu beheben.

Die Einstellung von Leuten aus nicht-traditionellen...

Die Einstellung von Mitarbeitern mit nicht-traditionellem Hintergrund kann Ihnen helfen, ... Lesen Sie mehr >

Sam Greengard

von Sam Greengard

Mitwirkender Verfasser

Veröffentlicht am 28. Mai 2020

Mimecast entdeckt "3D Office Exploiter", eine entfernte Codeausführungs-Vuln...

Neue Mimecast-Forschung zeigt, wie C...

Neue Mimecast-Forschung zeigt, wie CVE-2020-1321 die Potenti... Weiterlesen >

Matthew Gardiner

von Matthew Gardiner

Principal Security Strategist

Veröffentlicht 10. Juli 2020