Het was een ware sensatie op Twitterland. Influencers en (zelfverklaarde) belangrijke mensen begonnen donderdagavond nagenoeg tegelijkertijd te twitteren over een Bitcoin actie. Accounts van onder andere Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Kanye West, Barack Obama, Warren Buffet, Uber, Apple en bitcoinbeurzen Bitflinex, Gemini en Coinbase waren voor korte duur slachtoffer van een bitcoin-scam. De aanvallers die erin geslaagd zijn om de Twitteraccounts over te nemen lieten weten, via de gehackte accounts, dat wie een bedrag aan bitcoins zou overmaken op het opgegeven bitcoins-adres, het dubbele van zijn of haar investering zou terugkrijgen. Wel stond erbij dat het slechts een halfuur mogelijk zou zijn, dus men moest wel opschieten. Alsof de ‘gratis geld’ motivatie nog niet genoeg was zetten de aanvallers er ook nog wat tijdsdruk op. Wellicht moesten ze die avond nog naar een anonieme hackers vergadering en hadden ze een beetje haast.

 

Social-engineering op zijn best

Het duurde niet al te lang voordat Twitter de aanval ontdekte en de vrienden van de blauwe vogel kwamen al snel in actie. Alle getroffen accounts werden vergrendeld en de tweets van de aanvallers werden verwijderd. Daarnaast werd ook de functionaliteit voor alle geverifieerde Twitteraccounts, en dat zijn er nogal wat, beperkt. Zo was het resetten van wachtwoorden tijdelijk niet mogelijk om zo te voorkomen dat aanvallers inloggegevens konden veranderen. Tot slot meldt Twitter dat het stappen heeft genomen (of de vleugels heeft gespreid, net zo u wil) om toegang tot interne systemen en tools te beperken. De aanval, die door Twitter wordt omschreven als een gecoördineerde social engineering-aanval was gericht op medewerkers die toegang hadden tot interne systemen en tools. Wat social engineering is? Dat is een methodiek waarbij de aanvallers proberen om de zwakste schakel in elke beveiliging te kraken, namelijk de mens. En dat dit succesvol was bleek wel uit het feit dat de aanvallers vervolgens naar hartenlust via deze systemen accounts konden overnemen en tweeten in hun naam.

Inmiddels is door twee anonieme bronnen laten weten aan Vice Magazine dat de aanvallers inderdaad gebruik hebben gemaakt van een Twittermedewerker. Wellicht moet Twitter zijn salarisplafond wat verhogen want deze medewerker heeft zijn integriteit opgegeven voor een vooralsnog onbekende som geld. En ondanks dat Twitter de aanval redelijk snel door had en heeft beëindigd, stopt het daar natuurlijk niet. Want de accounts die gebruikt zijn voor deze scam behoren tot niet de minste mensen die op deze aarde rondlopen. En het is nu aan Twitter om door het stof te gaan en om zich te gaan verantwoorden. Onder andere tegenover de Amerikaanse senator Josh Hawley. Hij heeft Twitter-CEO Jack Dorsey een brief gestuurd, geen tweet, waarin hij om opheldering over deze aanval vraagt. Gelukkig liggen zijn prioriteiten wel goed want hij lijkt het meest begaan met het Twitter account van onze grote vriend Trump. Zo wil hij graag weten of dit account gevaar heeft gelopen. Daarnaast wil hij weten of Twitteraccounts met tweefactorauthenticatie (2FA) ook bij deze aanval zijn gecompromitteerd en hoe dit dan mogelijk was. Kortom veel vragen van iemand die er verder toch weinig mee te maken had. Jack Dorsey zelf meldt op zijn Twitteraccount dat hij het verschrikkelijk vindt en dat het onderzoek nog loopt.

Men trapt er toch weer in

En hoe succesvol de aanval was? Nou dat viel nog best mee. Het bitcoin-adres dat de aanvallers hebben gebruikt heeft uiteindelijk 12.861 bitcoin ontvangen. Omgerekend zo’n slordige 104.000 euro. Natuurlijk geen gering bedrag voor een half uurtje werk, maar de schade had een stuk groter kunnen zijn. En of dit bedrag helemaal klopt is ook nog maar afwachten, er bestaat een kans dat de aanvallers zelf ook bitcoins hebben overgemaakt om zo de scam legitiem te laten lijken. In totaal zijn er 374 transacties gedaan met het bitcoin-adres. En ondanks dat het bedrag dus niet enorm is, betekent dit wel dat er naar schatting ruim 300 mensen ingetrapt zijn. En heel eerlijk, als je anno 2020 nog steeds niet zelf kan bedenken dat dit mogelijk niet helemaal legitiem is, dan is het wellicht tijd voor een security-awareness training. Of misschien gewoon volledige ontzegging van toegang tot social media.