Was ist passiert?
Große Aufregung im Lieblingsnetzwerk von US-Präsident Donald Trump: Einem oder mehreren Hackern ist es gelungen, die Konten berühmter Personen wie Tesla-Chef Elon Musk, Ex-US-Präsident Barack Obama und Amazon-Gründer Jeff Bezos zu kapern. Auch Unternehmensaccounts wie die von Apple oder jener der Kryptowährungsbörse Binance waren betroffen. Die Konten haben teils Millionen Follower.
Was die Hacker mit den übernommenen Konten anstellten, gibt Rätsel auf. Sie verteilten über die Accounts Spam-Nachrichten, die die Follower der Konten aufforderten, Bitcoins an eine bestimmte virtuelle Adresse zu überweisen, um dann die doppelte Menge an Bitcoins zurückzuerhalten. Diese Art des Betrugs erinnert an die berühmten Spam-Mails von angeblichen nigerianischen Prinzen, die, um ihre große Erbschaft mit Opfern teilen zu können, von diesen erst einmal etwas Startkapital benötigen.
Wie lief die Aktion ab?
Gegen Mittwochabend deutscher Zeit begannen zunächst Accounts aus der Kryptowährungsbranche die betrügerischen Tweets zu verschicken. Der Tenor war immer der Gleiche: Wegen der Covid-19-Pandemie hätten die Unternehmer und Firmen beschlossen, die Community unterstützen zu wollen. Deshalb sei beschlossen worden, bei der Aktion "CryptoForHealth" mitzumachen. Jeder empfangene Bitcoin-Wert werde doppelt an den Sender zurückgeschickt. Unternehmen aus der teils undurchsichtigen Kryptowährungsszene konnte man eine derartige Aktion mit etwas gutem Willen noch abnehmen. Doch bald darauf kamen ähnliche Tweets auch vom voraussichtlichen US-Präsidentschaftskandidaten Joe Biden, New Yorks Ex-Bürgermeister Mike Bloomberg oder Microsoft-Gründer Bill Gates. Es traf vor allem von Twitter verifizierte Konten. Die Verifikation soll eigentlich Fake-Accounts eindämmen.
Um die potenziellen Betrugsopfer unter Zeitdruck zu setzen, hieß es zudem, dass die Aktion nur für 30 Minuten laufen werde. Als klar wurde, dass es sich um Betrug handelte, sperrte Twitter zunächst die betroffenen Konten. Später hinderte die Plattform kurzzeitig alle verifizierten Accounts daran, Nachrichten abzusetzen.
Wie bekamen die Hacker Zugriff auf die Konten der berühmten Nutzer?
Die aktuell vielversprechendste Theorie ist, dass der oder die Hacker über einen Mitarbeiter Zugriff auf eine interne Administratoren-Software von Twitter hatten, eine Art Kontrollzentrum. In der Branche nennt man das wegen der Allmacht der Administratoren "Gott-Modus". Screenshots dieses Werkzeugs, die angeblich von dem Hacker selbst geteilt wurden, kursieren auf US-Medienseiten. Damit können Mitarbeiter Passwörter von Nutzern ändern und zusätzliche Sicherheitsfunktionen wie Zwei-Faktor-Authentisierung ausschalten (2FA). Bei 2FA müssen sich Nutzer neben ihrem Passwort noch mit einem Einmalcode oder einer Art Sicherheitsschlüssel ausweisen. Der "Gott-Modus" würde erklären, wie die Hacker in so kurzer Zeit auch meist sehr gut gesicherte Firmenkonten übernehmen konnten. Einem Bericht der US-Webseite Motherboard zufolge behaupten die Hacker, sie hätten einen Twitter-Mitarbeiter dazu gebracht, "die ganze Arbeit für sie zu erledigen". Twitter bestätigte die Hypothese weitgehend. Einem offiziellen Kanal der Plattform zufolge wurden mehrere Twitter-Mitarbeiter mit "einer koordinierten Social-Engineering-Attacke" hereingelegt.
Ist mein Twitter-Account jetzt unsicher?
Mit dem Administratoren-Werkzeug konnten die Hacker offenbar jeden beliebigen Account übernehmen, gleich welche Sicherheitsvorkehrungen dessen Nutzer getroffen hatte. Im Prinzip dürfte also jeder Account während des Angriffs unsicher gewesen sein. Doch die Hacker hatten es für ihren Bitcoin-Betrug auf prominente Accounts abgesehen, und auf solche, denen man obskure Charity-Aktionen mit Bitcoins auch zutraut. Der prominenteste aller Twitter-Accounts, der von US-Präsident Trump, wurde nicht übernommen.
Was bedeutet das für die Sicherheit des Twitter-Netzwerks?
Twitter hat bislang noch keine konkreten Schritte angekündigt. Dass das Sicherheitskonzept eines der wichtigsten Social-Media-Netzwerke der Welt kaum zu entschuldigende Lücken hat, steht nach dem Angriff jedoch außer Frage. Vor allem, dass die Mitarbeiter offenbar ohne größere Probleme die Mehrfaktor-Authentisierung vieler berühmter Accounts deaktivieren konnten, deutet auf Nachlässigkeit bei Twitter hin. Denn selbst wenn Nutzer alles nur Mögliche getan hatten, um sich zu schützen, waren sie diesem Angriff über die Plattform selbst schutzlos ausgeliefert.
Wie viel Geld haben die Angreifer mit dem Betrug verdient?
Zahlungen mit Bitcoin sind für Cyberkriminelle praktisch, weil sie ohne Kontrolle durch zentrale Instanzen wie etwa Banken stattfinden und die Besitzer von Bitcoin-Konten anonym bleiben können. Die Konten selbst sind allerdings von jedem Internetnutzer einsehbar. Am Mittwoch konnten interessierte Beobachter deshalb live verfolgen, wie sich das Bitcoin-Konto der Angreifer mit dem Geld der Opfer füllte. Bis Donnerstagmittag deutscher Zeit kamen nach aktuellem Wechselkurs rund 100 000 Euro zusammen.
Ein massiver Twitter-Hack für 100 000 Euro in Bitcoin?
Aktuell gibt es keine klaren Hinweise, dass der oder die Angreifer politische oder andere Ziele hatten, außer ein bisschen Geld zu verdienen. Nicht nur wegen der offenbar sehr profanen Hintergründe erinnert der Hack ein wenig an die aufsehenerregende Veröffentlichung von Prominenten- und Politiker-Daten in Deutschland 2019. Damals stellte sich heraus, dass der Angreifer ein Jugendlicher war, der mit den Hacks in erster Linie Aufmerksamkeit erregen wollte. Viel Unterstützung bekam deshalb anlässlich des Twitter-Hacks ein Tweet des französischen Hackers Robert Baptiste, der schrieb: "Liebe Hacker, wenn ihr das nächste Mal Zugriff auf Twitters Gott-Modus habt, dann twittert doch bitte etwas Nützliches statt von Bitcoin-Betrugs-Tweets. Stellt euch vor, was ihr hättet erreichen können, wenn ihr von berühmten Accounts aus 'Tragt Masken' getwittert hättet."
