Image Image Image Image

Die Erpressung eines $50.000 Twitter-Account-Inhabers

Die Erpressung eines $50.000 Twitter-Account-Inhabers

Naoki Hiroshima ist einer der Entwickler vom Twitter-Client Echofon und der Erschaffer von Cocoyon. Anders als die meisten Twitter-User hat(te) Naoki einen besonders wertvollen Benutzernamen, ähnlich wie bei Domainnamen im Internet gibt es hier eine Wertsteigerung mit zunehmender Anfrage - für Unternehmen ist es durchaus toll, einen knappen und marketingwirksamen Twitter-Namen vorzeigen zu können.

Sein Twitter-Username nannte sich schlicht @N und konnte mit dem einen Buchstaben eine Menge Interesse an Land ziehen. Angebote an Naoki reichten bis in die sagenhafte Höhe von 50.000 US-Dollar, alles nur für den einen, kostenlos erstellen Account. Ähnlich verhält es sich heute mit Domains im Netz, nur dass diese eben weitaus teurer sind. Wer zuerst kommt und einen Platz im Netz belegt, kann später teilweise ordentlich abkassieren.

Bei Twitter hängt der Wert von vielen Faktoren ab, einer davon ist auch der Erfolg von Twitter. Sollte die Plattform nämlich einem Konkurrenten weichen müssen, wäre der Wert ziemlich schnell verloren. Noch schneller bergab geht es natürlich durch einen Hack. Naoki wurde um seinen Twitter-Namen betrogen.

PayPal und GoDaddy als unabsichtliche Komplizen

In einer Kette aus Passwort-Hacks, Social Engineering (Betrug in Form von sozialer Manipulation an Support-Mitarbeitern und anderen Menschen) und klassischer, direkter Erpressung arbeiteten sich die Angreifer an Naoki heran. Besonders schwerwiegend war die Übernahme seiner Internet-Domain mithilfe eines Anrufs beim PayPal Callcenter, in Folge derer er noch nicht mal mehr seine Registration beweisen konnte.

Die eigene Domain für Google Apps Dienste (die Mailadresse von Naoki lief über eine eigene Domain, aber effektiv via GMail-Server) war kompromittiert, damit ebenso jeder an diese Mailadresse gebundene Online-Dienst. Aufgrund der ausgebliebenen Aktualisierung der MX-Einträge erhielt der Angreifer aber noch keine Mails, er konnte sie nur senden. Folglich stieß er bei Twitter auf Hindernisse beim Versuch, das Passwort zurückzusetzen.

Digitale Erpressung für digitale Güter - Schwachstelle Mensch

Long story short: Naoki wurde schließlich erpresst, seine teilweise gekaperte Online-Existenz aus der Geiselnahme zu befreien, solange er sich zur Freigabe seines wertvollen Twitter-Accounts erklärte. Twitter untersucht den Fall, der Angreifer wird vermutlich nichts mehr damit anfangen können. Der Diebstahl ist fast so gut wie aufgeklärt, die Schuldfrage aber ungeklärt.

Und die Moral von der Geschichte? Sucht Euch einen schlauen, wertvollen Twitter-Namen (falls überhaupt noch machbar) und bunkert ihn mit einem eigenen Passwort und einer separaten Mailadresse ohne jegliche Verbindung zum Rest. Außerdem sollte man immer im Hinterkopf behalten, dass Telefon-Supportmitarbeiter meist ihre Bequemlichkeit der Sicherheit vorziehen und sich recht einfach überlisten lassen. via TNW


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:



← Menü öffnen weblogit.net | Home