Bildrechte
Reuters
Das beispiellose Hacken von Twitter-Accounts von Prominenten in diesem Monat wurde durch menschliches Versagen und einen Spear-Phishing-Angriff auf Twitter-Mitarbeiter verursacht, hat das Unternehmen bestätigt.
Spear-Phishing ist ein gezielter Angriff, der Menschen dazu verleiten soll, Informationen wie Passwörter zu verteilen.
Twitter sagte, dass seine Mitarbeiter über ihre Telefone angesprochen wurden.
Durch den erfolgreichen Versuch konnten Angreifer von Promi-Konten twittern und auf ihre privaten Direktnachrichten zugreifen.
Die Berichte von Microsoft-Gründer Bill Gates, dem demokratischen Präsidenten Joe Biden und Reality-Star Kim Kardashian West wurden kompromittiert und teilten einen Bitcoin-Betrug.
Berichten zufolge wurden den Betrügern mehr als 100.000 US-Dollar (80.000 GBP) gutgeschrieben.
Der Angriff hat Bedenken hinsichtlich des Zugriffs von Twitter-Mitarbeitern und anschließend der Hacker auf Benutzerkonten ausgelöst.
Twitter erkannte diese Besorgnis in seiner Erklärung an und sagte, dass es "einen genauen Blick darauf werfen" werde, wie es seine Berechtigungen und Prozesse verbessern könne.
"Der Zugriff auf diese Tools ist streng begrenzt und wird nur aus gültigen geschäftlichen Gründen gewährt", sagte das Unternehmen.
Laut Twitter hatten nicht alle Mitarbeiter, die von dem Spear-Phishing-Angriff betroffen waren, Zugriff auf die internen Tools, aber sie hatten Zugriff auf das interne Netzwerk und andere Systeme.
Nachdem die Angreifer Benutzeranmeldeinformationen erworben hatten, um sie in das Twitter-Netzwerk aufzunehmen, war die nächste Phase ihres Angriffs viel einfacher.
Sie richteten sich an andere Mitarbeiter, die Zugang zu Kontokontrollen hatten.
Analyse
Von Joe Tidy, Cyber-Sicherheitsreporter
Twitter klärt nicht, ob seine Mitarbeiter durch eine E-Mail oder einen Anruf betrogen wurden oder nicht. In der Informationssicherheitsgemeinschaft herrscht Konsens darüber, dass es sich um Letzteres handelte.
Phonecall Spear-Phishing, allgemein bekannt als Vishing, ist Brot und Butter für die Art von Hackern, die dieses Angriffs verdächtigt werden.
Die Kriminellen erhielten die Telefonnummern einer Handvoll Twitter-Mitarbeiter und brachten sie durch freundliche Überredung und Tricks dazu, Benutzernamen und Passwörter zu übergeben, die ihnen einen ersten Einstieg in das interne System ermöglichten.
- Twitter Hack: Was ist schief gelaufen und warum es wichtig ist
- Das FBI untersucht großen Twitter-Hack
Wie Twitter es ausdrückt, haben die Betrüger "menschliche Schwachstellen ausgenutzt". Sie können sich vorstellen, wie es möglicherweise gelaufen ist:
Hacker an Twitter-Mitarbeiter: "Hallo, ich bin neu in der Abteilung und habe mich aus dem internen Twitter-Portal ausgeschlossen. Können Sie mir einen großen Gefallen tun und mir erneut den Login geben?"
Die Tatsache, dass Twitter-Mitarbeiter für diese grundlegenden Angriffe anfällig waren, ist für ein Unternehmen peinlich, das darauf aufgebaut ist, an der Spitze der digitalen Technologie und der Internetkultur zu stehen.
Laut Twitter fand der erste Spear-Phishing-Versuch am 15. Juli statt – am selben Tag, an dem die Konten kompromittiert wurden, was darauf hindeutet, dass innerhalb weniger Stunden auf die Konten zugegriffen wurde.
"Dieser Angriff beruhte auf einem bedeutenden und konzertierten Versuch, bestimmte Mitarbeiter irrezuführen und menschliche Schwachstellen auszunutzen, um Zugang zu unseren internen Systemen zu erhalten", sagte das Unternehmen.
"Dies war eine eindrucksvolle Erinnerung daran, wie wichtig jede Person in unserem Team für den Schutz unseres Service ist."
Twitter gab nicht an, ob der Angriff Sprachanrufe beinhaltete, obwohl in einem früheren Bericht von Bloomberg festgestellt wurde, dass mindestens ein Twitter-Mitarbeiter von Angreifern über einen Telefonanruf kontaktiert wurde.
Phishing wird am häufigsten per E-Mail und SMS durchgeführt. Die Empfänger werden aufgefordert, auf Links zu klicken, die sie zu Websites mit gefälschten Anmeldebildschirmen führen.
Spear-Phishing ist eine Version des Betrugs, die sich an eine Person oder ein bestimmtes Unternehmen richtet und normalerweise stark angepasst wird, um es glaubwürdiger zu machen.