Für Verbraucher
Für Unternehmen

Flüchtigkeitsfehler

<p>“Ein Glück, dass manche Kriminelle so dumm sind”, sagte Sarah White während ihres Talks “Pouring salt into the crypto wound” beim SteelCon in Sheffield 2019. In ihrem Vortrag ging es darum, wie schlechte Implementationen von Kryptografie in Schadsoftware es Behörden und Firmen ermöglichten, verschlüsselte Daten ohne die Kenntnis des Schlüssels wiederherzustellen — eigentlich eine unmögliche Aufgabe.<br>
Schaut man sich den Twitterhack vom Juli an, kann man dort auch einige Flüchtigkeitsfehler entdecken und sich darüber freuen, dass die Angreifer in diesem Fall jung und unerfahren genug waren, um nicht weitaus massivere Schäden anzurichten.</p>
<p>“I am giving back to the community”, begannen viele Twitternachrichten von bekannten Accounts wie Ex-Präsident Barack Obama, Apple, Elon Musk oder Uber am 15. Juli 2020. Die Tweets versprachen, dass man während eines kleinen Zeitfensters von 30 Minuten $1000 in Bitcoin verdoppeln könnte; man schickt sie an ein Wallet, ein Bitcoin Konto, und würde $2000 zurück überwiesen bekommen.<br>
Zeitdruck ist ein beliebtes, weil effektives Stilmittel bei Betrug. Sei es dieser Angriff, die Chefmasche (CEO Fraud) oder Phishing — setzt man Leute mit Zeit unter Druck, ist Denken häufig weniger rational. Auch bei nicht-kriminellen Dingen wie Werbung wird so agiert: Udemy, zum Beispiel, eine Webseite mit Lernvideos, bietet beim ersten Besuch immer einen erheblichen Rabatt für Neukunden an, wenn diese nur innerhalb der nächsten x Stunden kaufen. Es funktioniert eben.<br>
Es ist leicht, sich diese Tweets aus einer IT oder Securityperspektive anzusehen, und sie sofort zu durchschauen. Trotzdem, ein weiteres beliebtes kriminelles Stilmittel in Phishing und Ähnlichem, ist das Ausnutzen von Gier. Auf die Schnelle 1000$ verdienen? Warum nicht? Auf die Frage “Warum sollten diese Accounts das tun?” kommen die von dem Betrug Betroffenen leider nicht ganz so schnell.<br>
Hier ist vielleicht schon der erste Flüchtigkeitsfehler der Angreifer erkennbar; und er hat wohl auch mit dem Thema Zeit zu tun. Mal ehrlich, auch wenn man kein kriminelles Mastermind ist: das Potential, mit den hochwertigen gekaperten Accounts politischen oder wirtschaftlichen Schaden anzurichten, ist enorm. Obama, der sich zum Beispiel für Trump ausspricht, gegen Biden. Biden, der als Fake etwas unglaublich rassistisches sagt. Apple, die auf Grund eines Tweets an Börsenwert verlieren. Elon Musk ist der Einzige, der durch seine manchmal wenig durchdacht erscheinenden Tweets vielleicht eine Art Resistenz aufgebaut hat, aber das tut nichts zur Sache. Auch private Nachrichten lesen oder verschicken, für diese Accounts, hat ein riesiges Potential in viele Richtungen.</p>
<p>Und dann kassiert man nur schnelle 1000$ von den Leuten, die darauf reinfallen?<br>
Eine — zum Glück — verschwendete Gelegenheit.</p>
<p>Inzwischen sind die Drahtzieher des Angriffs namentlich benannt. Die Aufklärungsarbeit des FBI und zuarbeitender Institute und Personen ist nicht zu unterschätzen, und doch hatten sie es in dem Fall leicht.<br>
ZDNet berichtet hier recht gut über die Hintergründe.</p>
<p>Nachdem es gelungen war, auf einen internen Slack-Workspace von Twitter zuzugreifen, bei dem Zugangsdaten für ein internes Twitter-Admintool lesbar waren (gepinnt, sogar), musste ein Weg gefunden werden, die ebenfalls vorhandene Zwei-Faktor-Authentifizierung zu umgehen. Der Angreifer benutzte hierfür wohl maßgeblich Telefon und Social Engineering, um an weitere interne Accounts zu kommen und damit die Zwei-Faktor-Authentifizierung umgehen zu können. Dann nahm der Angreifer Kontakt zu den zwei Komparsen auf. Nachdem er diesen am gleichen Tag noch bewiesen hatte, dass sie jeden beliebigen Twitter-Account übernehmen konnten, verkauften sie Accountzugänge ab $2000, oder auch nur die mit einem Account verknüpfte email-Adresse für $250.</p>
<p>Hier kommen weitere Personen ins Spiel, die offensichtlich Accounts gekauft haben und die Krypto-Scam-Nachricht von der Verdoppelung der 1000$ gepostet haben.</p>
<p>An dem Punkt wurde natürlich bekannt, dass etwas nicht stimmen konnte, und kurz danach sperrte Twitter alle Premium-User (erkennbar am blauen Häkchen), so dass diese nichts mehr posten konnten, bis das Problem analysiert war.</p>
<p>Knappe drei Wochen später sind die ursprünglichen Angreifer identifiziert; aber nicht wegen einer super Cyberappliance, die mit Hilfe von machine learning alle Angriffe eigenständig aus dem Netz filtert (und Twitter hat solche Appliances bestimmt im Netzwerk), sondern weil alle drei fatale Fehler gemacht haben und z.B. Mailadressen in der Kommunikation verwendet hatten, mit denen sie sich auch auf Coinbase, einem Bitcoin-Exchange, registriert hatten. Der Haken? Bei Coinbase hatten sie zum Identitätsnachweis auch Führerschein, Adresse etc. hochgeladen, was dem FBI sehr weitergeholfen hat.</p>
<p>Auch andere Hinweise zum Zusammenhang zwischen Namen, Wohnort und Mailadresse bzw. Bitcoin-Wallets wurden ihnen zum Verhängnis; zum Beispiel Daten aus einem alten Breach eines Forums, das sich mit Kauf und Verkauf von Social Media Identitäten beschäftigt. Dort waren und sind alle drei registriert gewesen.</p>
<p>Neben der Dankbarkeit, die man für das vergleichsweise milde Ausnutzen der gefundenen Lücke empfinden kann, muss man aber auch sehen, dass es Flüchtigkeitsfehler und wenig durchdachte Handlungen waren, die letztlich zu einem schnellen, glimpflichen Ende und einer ebenso schnellen Identifikation der Angreifer geführt hatten.​</p>
<p>Bleibt abzuwarten, ob andere Käufer von weiteren hochrangigen Twitter-Accounts klüger waren und Daten abgezogen haben, die man mit weniger Lärm gewinnbringender (oder schadhafter) einsetzen kann.</p>

Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen