Social Engineering Hack bei Twitter gestern.

[nighteeeeey]

Ich weiß nicht recht wohin mit dem Thema, ich denke aber hier ists okay?

Ich weiß nicht ob die Redaktion schon an einem Artikel arbeitet oder ihnen das völlig entgangen ist?

Jedenfalls gabs gestern einen großen Social Engineer Hack auf Twitter, wo Mitarbeiter von Twitter mit Zugriff auf interne Tools "social gehacked" wurden und damit Angreifern Zugriff auf jeden verifizierten Account ermöglichten.

Dieser wurde genutzt um einen Bitcoin Scam durchzuführen ("sende mir X Bitcoin und ich verdoppele und schick es dir zurück") unter anderem geteilt von Apple, Elon Musk, Bitcoin und anderen Coinbases selbst, Kanye West, Jeff Bezos, Bill Gates, Obama, usw usw usw.

Ganz interessant zu sehen. Meine These: Menschen werden immer das schwächste Glied in einer Sicherheitskette bleiben und wir werden in Zukunft noch viel öfter Social Hacks sehen, wenn technische Sicherheitsmaßnahmen immer größer und stärker werden. Interessant interessant interessant.

Quelle: https://twitter.com/TwitterSupport/status/1283518038445223936

https://twitter.com/MKBHD/status/1283509102707191808

Screenshots:
https://twitter.com/D__T__6/status/1283509121850003456
https://twitter.com/lowstrife/status/1283509949994278915

@SV3N @nlr

 

[dermatu]

Elon hätte man so einen Quatsch sogar glauben können😂

 

[Stock86]

Die meisten Leute denken leider einfach nicht nach. Die sehen nur, dass Elon Musk etwas postet und dann muss es ja schon richtig sein. Und wenn sie dann noch Geld damit verdienen können, umso besser.

 

[nighteeeeey]

Elon hätte man so einen Quatsch sogar glauben können

Kein Spaß, seiner war der erste Tweet den ich gesehen habe und ich habe 99% dran geglaubt, weil bei dem Dude weiß man echt nie was gerade abgeht. Zum Glück hatte ich keine Bitcoin im Hot Wallet xD

Die meisten Leute denken leider einfach nicht nach.

Ich bin echt fast selbst drauf reingefallen in der ersten Sekunde. Man weiß doch nie was Elon gerade geraucht hat. Und dann liest man er will all seine Besitztümer loswerden ^^ war halt klug gemacht mit den 30 Minuten Zeitdruck noch dazu. Genau so hacked man Menschen. Reverse Psychology 1x1 par Excellence.

Es gab wohl in den ersten 30 Minuten schon Transaktionen über 180.000 Dollar an die Bitcoin Adresse. Wie viel es letztendlich war weiß ich nicht, steht aber bestimmt schon irgendwo geschrieben.

 

[Yuuri]

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Dr. MaRV]

Die sehen nur, dass Elon Musk etwas postet und dann muss es ja schon richtig sein.

Das ist zum großen Teil dem Kult um diese Person geschuldet. Ich kann das nicht nachvollziehen.
Und mit ihm selbst überhaupt nichts anfangen.
Der Baut Autos und Raketen, das haben Carl Benz (Auto) und Wernher von Braun (Rakete) auch gemacht, von Brauns ist sogar zum Mond geflogen, mit Menschen an Bord. 8-mal!

 

[nighteeeeey]

Der Baut Autos und Raketen, das haben Carl Benz (Auto) und Wernher von Braun (Rakete) auch gemacht

Ich glaube der Vergleich hinkt n bisschen woll? ^^ Benz hats Auto erfunden und Braun wurde von den Nazis instrumentalisiert um einen Krieg zu gewinnen ^^ das kann man wohl nichtmal annähernd mit Musk vergleichen.

Ich bin kein Fan von dem Personenkult um ihn aber man kann sagen was man will, er liefert in den meisten Fällen was er verspricht, auch wenns manchmal länger dauert.

Weder Benz noch Braun hatten den Anspruch die Menschheit zu retten und auf einen anderen Planeten zu pflanzen. Ich denke seinen Intentionen kann man durchaus schon mal Rechnung zollen.

Elon hat das Auto sprichwörtlich neu erfunden. Einfach mal die letzten 5 Minuten hier anhören:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Du willst doch nicht ernsthaft einen 1900er Benz mit einem Tesla 3 vergleichen

 

[Layer8]

Ganz ehrlich, wenn jemand so dämlich ist und da seine Bitcoins reinbuttert, hat es meiner Meinung nach nicht anders verdient. Kann man ja gleich dem nigerianischen Prinzen die Kohle überweisen.

"Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher."

 

[Dr. MaRV]

@NighteeeeeY

Da hink gar nichts, Benz hats erfunden und auch gebaut, damals noch unter der Bezeichnung Benz & Cie.
Der Zusammenschluss zur Mercedes-Benz AG kam 1926 drei Jahre vor seinem Tod.
Was von Braun betrifft, siehst du nur die NS-Zeit. Erfolgt hatte er aber erst in Amerika und mit der Saturn V seinen großen Traum verwirklicht. Auch von Braun sah die Menschheit im All und auf dem Mond wohnen.

Musk verspricht vor allem viel, das hast du richtig erkannt. Kann dann selten das versprochene halten und wenn überhaupt erst sehr spät liefern. Dennoch hat er die Technologie ein Stück voran gebracht und die Raumfahrt drastisch verbilligt. Das erkenne ich auch an.

 

[madmax2010]

Wenn man sich die Wallet so ansieht, hat es sich jedoch nicht wirklich gelohnt

 

[Serana]

Ganz interessant zu sehen. Meine These: Menschen werden immer das schwächste Glied in einer Sicherheitskette bleiben und wir werden in Zukunft noch viel öfter Social Hacks sehen, wenn technische Sicherheitsmaßnahmen immer größer und stärker werden. Interessant interessant interessant.

Das der Nutzer die größte potentielle Sicherheitslücke ist war schon immer so und wird auch mit hoher Wahrscheinlichkeit immer so bleiben. Es wird immer unbedarfte Nutzer geben die den Anweisungen in einer Email folgen und die Malware auf dem Rechner ausführen. Es wird immer jemanden geben der Microsoft sagt, daß das Makro aber unbedingt ausgeführt werden soll. Da kann das System warnen so viel es will. Es wird immer Leute geben die in einer Mail den Link anklicken und danach eben NICHT genau prüfen ob sie auch tatsächlich auf der richtigen Internetseite angekommen sind.

Klar gibt es auch die klassischen Sicherheitslücken, aber ich wage einfach mal zu behaupten, daß die meiste Schadsoftware auf die Kooperation des Opfers angewiesen ist.

In der sogenannten realen Welt würden die meisten Menschen nicht einfach aus einem Fenster im zehnten Stock hüpfen nur weil ihnen jemand erzählt, daß das eine tolle Idee ist. Sie tun es nicht weil sie verstehen was dann mit hoher Wahrscheinlichkeit passiert. Aber die meisten Menschen haben nicht einmal eine schwache Vorstellung davon wie Computer oder das Internet funktionieren. Sie verstehen diese Technik einfach nicht. Wenn ihnen eine Person die sie für vertrauenswürdig halten sagt, daß sie dieses oder jenes machen sollen dann machen sie es eben. Sie kommen zumindest in dem Moment nicht auf die Idee, daß im Netz jeder behaupten kann eine bekannte Person zu sein oder für ein bestimmtes Unternehmen zu sprechen.

 

[dermatu]

Wenn man sich die Wallet so ansieht, hat es sich jedoch nicht wirklich gelohnt

Link ?

 

[nighteeeeey]

Das der Nutzer

Hier gehts ja gerade drum, dass es nicht der Nutzer war. Sondern der Mitarbeiter mit Zugriff. Social Engineering ist so alt wie die Menschheit selbst. Ich erinnere mich noch an die Szene aus Sneakers - Die Lautlosen. Muss irgendwann in den 90ern gewesen sein. ^^

Bisher wars nur meistens einfacher über brachiale technische Maßnahmen Zugriff zu erlangen. Wir werden sehen wie lange das anhält.

 

[Wilhelm14]

Ich glaube Serana meint, dass es der Nutzer ist, der auf Geldverdoppelungsangeobte reinfällt. Du gibst ja offen zu, dass du fast drauf reingefallen wärst. Bei dir muss nur irgendwie Elon Musk dran stehen. 😉
Stellt sich natürlich die Frage, mit welchem "Social Engineering" das Mitarbeiterkonto von einem Twitter-"Admin" gehackt werden konnte.

 

[Serana]

Hier gehts ja gerade drum, dass es nicht der Nutzer war.

Es geht doch auch hier darum, daß jemand der Zugriff auf das System (hier das von Twitter) hat, sich dazu verleiten ließ etwas dummes zu machen. Nutzer ist letztendlich jeder der Zugriff auf ein System hat. Ob dieser Nutzer nun Administrator, Mitarbeiter von Twitter oder Privatmensch ist, ist dabei letztlich vollkommen egal. Die potentiellen Folgen unterscheiden sich in der Hauptsache nur graduell.

Klar sind die möglichen Schäden größer, wenn der Fehler wie z.B. hier einem Mitarbeiter von Twitter passiert, aber die grundsätzliche Funktionsweise eines Angriffs ist die gleiche.

 

[nighteeeeey]

Okay verstehe.