Woensdagavond werd bekend dat tientallen Twitter-accounts van geverifieerde gebruikers zijn gehackt door kwaadwillenden met het doel om mensen op te lichten voor bitcoins.
Het ging onder meer om de accounts van Amazon-oprichter Jeff Bezos, presidentskandidaat Joe Biden, Tesla-topman Elon Musk en rapper Kanye West.
Al deze accounts deelden een soortgelijk bericht waarin de belofte werd gedaan om het geldbedrag dat naar een bitcoinrekening werd overgemaakt, te verdubbelen.
Grootschalige aanval
"De oorsprong en de omvang van deze grootschalige aanval worden momenteel onderzocht. De gecoördineerde aanval waarbij zogenaamd Bitcoins werden weggegeven, was bedoeld om miljoenen Twitter-volgers te overtuigen om de frauduleuze tweets te geloven, op de link te klikken en Bitcoins te betalen", aldus Loïc Guezo, Senior Director of Cybersecurity Strategy EMEA bij Proofpoint.
Bill Gates, Elon Musk, Jeff Bezos, Kanye West, Uber, Apple and other high profile accounts were hacked by Bitcoin scammers. pic.twitter.com/9WAtTjFJMj
— Pop Crave (@PopCrave) July 15, 2020
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Tijdslimiet en eenvoudige betalingsmethode
"Om de fraude authentieker te laten lijken, stelden ze zelfs een tijdslimiet en een eenvoudige betalingsmethode in om snelle reacties uit te lokken. Cybercriminelen begrijpen de menselijke natuur en zijn er onverbiddelijk op gericht om misbruik te maken van het maatschappelijk vertrouwen in digitale kanalen", vervolgt Guezo.
Medewerker Twitter
De hackers hebben via een Twitter-medewerker toegang gekregen tot het interne systeem van het sociale netwerk. Dat zou zijn gebeurd doordat de medewerker malware downloadde, zo stelt één van de hackers tegen RTL Nieuws.
Via die malware zouden de inloggegevens van de medewerker zijn buitgemaakt. Een andere bron stelt dat de medewerker zou zijn omgekocht.
In het interne systeem konden de hackers de e-mailadressen van belangrijke Twitter-accounts aanpassen naar hun eigen adressen. Daarna konden ze het wachtwoord opnieuw instellen.
De extra beveiligingsmethode tweestapsverificatie kon ook worden uitgeschakeld via dit interne systeem.
Het interne gehackte paneel van Twitter
Screenshot die toegang van het paneel tot Binance toont, een van de gehackte rekeningen
Oorspronkelijke idee
Het oorspronkelijke idee was om populaire gebruikersnamen op Twitter over te nemen, zoals @6. Deze accounts worden vaak voor veel geld doorverkocht.
Een andere methode om deze populaire gebruikersnamen over te nemen is sim-swapping, waarbij een hacker je 06-nummer overneemt.
Bitcoin adres hackers
Het bitcoin-adres dat de aanvallers gebruikten heeft 12,86 bitcoin ontvangen, wat bijna 104.000 euro is. Het is echter nog onduidelijk of dit allemaal van slachtoffers afkomstig is, of dat de aanvallers zelf ook bitcoins overmaakten om de scam legitiem te laten lijken. In totaal zijn er 374 transacties met het bitcoin-adres uitgevoerd. Het grootste deel daarvan betreft ontvangen betalingen.
Hacker @baas
"Dit is helemaal uit de hand gelopen", vertelt hacker @baas, die dit wereldje goed kent. "De bedoeling was eerst om OG's [term voor populaire gebruikersnamen, red.] te stelen, zoals @demon en @kill, maar toen bedachten ze die Bitcoin-scam."
Twitter reageerde door tijdelijk alle geverifieerde Twitter-accounts te bevriezen. "We hebben belangrijke stappen genomen om toegang tot onze interne systemen te limiteren." Het onderzoek is nog steeds bezig.
Dutch politician @geertwilderspvv just got hacked. No Bitcoin scam this time. Account linked to a gmail address. Same method or coincidence? pic.twitter.com/LGohLAYQhK
— Melvin (@showthread) July 15, 2020
Nederlandse hacker
Ook het Twitter-account van Geert Wilders is afgelopen nacht gehackt. Daar zit een Nederlandse hacker achter, die de profielfoto van Wilders aanpaste naar een karikatuur van een zwarte man en de hoofdfoto veranderde in de vlag van Marokko.
Ook tweette de hacker: "porno word gebruikt als wapen van de elite. we zijn bezig met een depopulatie agenda. word wakker nederland."
porno word gebruikt als wapen van de elite. we zijn bezig met een depopulatie agenda. word wakker nederland
— Geert Wilders (@geertwilderspvv) July 15, 2020
De hacker vertelt tegen RTL Nieuws dat Wilders 'voor de grap' is gehackt nadat er genoeg geld was verdiend met de Bitoin-oplichtingstweets. Hij zou zijn geholpen door buitenlandse hackers om het account van Wilders over te nemen.
De hacker ging 'kloten' op zijn account omdat Wilders 'controversiële uitspraken' doet. De hacks zijn uitgevoerd door een groep internationale hackers en de buitgemaakte bitcoins worden onderling verdeeld, stelt hij.
Cryptocurrency scams
Begin 2018 zagen onderzoekers van Proofpoint al een stijging van de zogenaamde 'cryptocurrency giveaway scams'. De scams zijn vaak gericht op gebruikers van Ethereum en Bitcoin en vragen slachtoffers meestal een klein bedrag van de valuta over te maken in ruil voor een veel grotere uitbetaling in dezelfde cryptocurrency.
Proofpoint zag toen dat deze tweets vaak afkomstig waren van nepaccounts die zijn ontworpen om clicks en retweets te genereren. Het gebruik van geverifieerde accounts is dus een nieuwe ontwikkeling.
Mensen voornaamste doelwit cybercriminelen
Mensen zijn nog steeds het voornaamste doelwit van cybercriminelen, zelfs in scenario's waarin een systeem wordt aangevallen. De gebruikte social engineering bij deze aanval toont aan dat de aanvallers zich richtten op Twitter-medewerkers met toegang tot interne tools. Daarnaast gingen ze uit van het vertrouwen dat mensen hebben in geverifieerde accounts en de aantrekkingskracht van het verdubbelen van hun geld.
Twitter "geen bewijs dat aanvallers toegang tot wachtwoorden hadden"
Er is geen bewijs dat de aanvallers die woensdagavond allerlei Twitter accounts wisten over te nemen toegang tot wachtwoorden van de betreffende accounts hadden. Het is voor zover bekend dan ook niet nodig om wachtwoorden te resetten, zo heeft Twitter in een update over het incident laten weten.
We have no evidence that attackers accessed passwords. Currently, we don’t believe resetting your password is necessary.
— Twitter Support (@TwitterSupport) July 16, 2020
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid monitort de situatie rond de aanval op Twitter. Het NCSC adviseert gebruikers van Twitter het berichtenverkeer op hun account in de gaten te houden. Bij misbruik wordt geadviseerd om contact op te nemen met Twitter.
Bron: coindesk proofpoint, rtlnieuws, vice, security