Am Mittwochabend spülte es Twitter-Usern so manch seltsame Nachricht in ihre Timeline: Ob Elon Musk, Jeff Bezos oder auch Ex-US-Präsident Barack Obama: Alle schienen sie plötzlich das dringende Bedürfnis zu verspüren, ihren Reichtum loszuwerden. Wer an eine gewisse Bitcoin-Adresse Geld überweise, würde den doppelten Betrag zurückbekommen – so das Versprechen. Dass es sich dabei in Wirklichkeit um einen – eigentlich simpel zu erkennenden – Betrugsversuch handelte, schien manche Adressaten nicht davon abzuhalten, tatsächlich eifrig Geld zu überweisen. Innerhalb weniger Minuten wurden rund 117.000 US-Dollar in Bitcoin überwiesen.

Eine Spurensuche

Ein Vorfall, der im Nachhinein natürlich eine Fülle an Fragen aufwirft, allen voran, wie es dazu kommen konnte, dass Unbekannte solch prominente Accounts unter ihre Kontrolle bringen konnten. Bei Twitter selbst verweist man darauf, dass die Untersuchung des Vorfalls derzeit noch läuft. So wie es aussehe, sei es den Angreifern aber gelungen mittels Social Engineering einen Mitarbeiter auszutricksen und so Zugriff auf interne Tools zu erhalten. Als "Social Engineering" wird eine von Hackern gerne benutzte Methode bezeichnet, bei der über Manipulation und gezielte Falschinformationen versucht wird, an sensible Informationen zu kommen. Wie das im konkreten Fall abgelaufen sein soll, verrät das Unternehmen noch nicht. Allerdings widerspricht man damit indirekt einer zunächst in Medien kolportierten Meldung von einem Insider, der bewusst bei dem Angriff mitgeholfen haben soll.

Nach und nach liefert Twitter aber dann doch einzelne Details zum Ablauf. So sollen die Angreifer versucht haben, insgesamt 130 Konten zu übernehmen. Warum man hier nicht bei allen erfolgreich gewesen ist, lässt das Unternehmen wiederum offen. Gleichzeitig betont man, dass es keinen Zugriff auf die Passwörter der Nutzer gegeben habe, insofern gebe es auch keine Notwendigkeit diese zu ändern.

Offene Fragen

Schweigen gibt es hingegen wieder zur Frage, ob die Angreifer private Nachrichten eingesehen haben. Ein durchaus relevanter Punkt, immerhin geht es hier um einige prominente Accounts, die sicher nicht wollen, dass alle ihre privaten Diskussionen an die Öffentlichkeit gelangen. Dabei geht es weniger um die Frage, ob die Angreifer Zugriff auf diese Informationen hatten, denn davon ist in dem Moment, wo sie sie Konten übernommen hatten, fix auszugehen. Viel mehr ist offen, ob sie sich für dies Informationen überhaupt interessiert haben, oder ganz auf die Betrugsmasche fokussiert waren.

Wer steckt dahinter?

Unterdessen stellt sich natürlich die Frage nach den Urhebern. Der Sicherheitsexperte Brian Krebs meint dabei eine Spur entdeckt zu haben: So soll es sich um Individuen handeln, die auch sonst auf das SIM Swapping spezialisiert sind, eine Betrugsmasche bei der jemand die Kontrolle über die Telefonnummer einer Zielperson erhält, um deren Accounts zu übernehmen – vom Online Banking bis eben zu via Zwei-Faktor-Authentifizierung geschützte Twitter-Accounts.

Laut Krebs wurde bereits in den Tagen vor dem Hack in einschlägigen Foren die Möglichkeit die mit einem Twitter-Konto verbundene Mailadresse nach Belieben zu ändern, verkauft. Ein User namens "Chaewon" bot alternativ auch gleich die Übernahme beliebiger Accounts für 2.000 bis 3.000 US-Dollar an. Einige Stunden vor dem großen Angriff wurden dann mehrere sogenannte "OG Accounts" übernommen. Mit diesem Begriff, die Abkürzung steht für "original gangster", werden Social-Media-Konten mit ein bis drei Zeichen umschrieben, die besonders beliebt und auch so schon ein häufiges Ziel von SIM Swappern sind.

Nach der Übernahme eines dieser OG-Accounts – @b – haben Unbekannte dann auch noch mit Screenshots von internen Twitter-Tools geprahlt. Ein unter dem Name @shinji agierender Poster hatte zudem öffentlich mit der Übernahme einzelner OG-Konten angegeben – und als Beweis ebenfalls Bilder der internen Tools gepostet. Laut einer Quelle von Krebs soll es sich dabei um ein Mitglieder einer bekannten Gruppe von Kriminellen handeln, die sich auf SIM Swapping spezialisiert haben. Diese soll schon für die Übernahme des Kontos von Twitter-Chef Jack Dorsey verantwortlich gewesen sein, die im Vorjahr für einige Aufregung gesorgt hatte.

Schritt für Schritt

Doch Krebs kann die Spur noch weiter verfolgen: So soll hinter dem Pseudonym "Shinji" in Wirklichkeit ein andere bekannte Größe aus diese Szene stecken, der sonst den Nicknamen "PlugWalkJoe" trägt. Bei diesem soll es wiederum Mobilfunksicherheitsexperten mittlerweile gelungen sein, die wahre Identität herauszufinden – und zwar poetischerweise via Social Engineering, er wurde also gezielt hereingelegt. Demnach handelt es sich dabei um einen 21-Jährigen Briten aus Liverpool, der derzeit in Spanien studiert.

Konsequenzen

Jenseits der Frage der Identität der Angreifer, bestimmt derzeit vor allem ein Punkt die Diskussion über den Vorfall: Nämlich dass es noch wesentlich schlimmer hätte kommen könnte. So unerfreulich der Betrug für die Betroffenen ist, gerade mit dem Blick auf die Politik hätte hier noch wesentlich größerer Schaden entstehen können. Immerhin nutzt US-Präsident Trump die Plattform für Verkündungen aller Art – im schlimmsten Fall könnte hier jemand auf diesen Weg einen Krieg auslösen, so die Befürchtung.

Entsprechend lautstark sind die Forderungen aus der US-Politik nach einer raschen Aufklärung der Vorgänge – und nach Sicherheitsverbesserungen, die so etwas für die Zukunft verhindern sollen. So rät etwa der ehemalige Sicherheitschef von Facebook, Alex Stamos, Twitter dazu künftig den Zugriff auf solche Tools nur mehr zu erlauben, wenn mehrere Mitarbeiter ihn autorisieren, womit ein einzelner nie die Möglichkeit hätte, solche Änderungen vorzunehmen. Ganz allgemein brauche es aber offensichtlich größere Investitionen in diesem Bereich, damit mehr Mitarbeiter mit diesen sensiblen Aufgaben betreut sind, und dann für jede Abwägung länger Zeit haben.

Trump hat Sonderrechte

Unterdessen hatte eine Frage aufmerksame Beobachter schon bald nach dem Angriff bewegt: Warum haben die Angreifer eigentlich nicht versucht, den Account von US-Präsident Trump zu übernehmen? Zumindest darauf gibt es nun eine Antwort: Laut einem Bericht der New York Times ist dieser "speziell geschützt" – und zwar als Folge frühere Angriffe. Auf Details zu diesen Maßnahmen wollte sich Twitter auf Nachfrage aber nicht einlassen. (apo, 17.07.2020)