Social engineering aan de basis van grootschalige oplichting via Twitter

Vanaf 22:00 uur Nederlandse tijd verschenen de verdachte berichten op geverifieerde Twitter-accounts van prominente gebruikers. In eerste instantie ging het enkel om aan cryptovaluta gerelateerde gebruikers, zoals Binance, Coinbase en Charlie Lee. De hack raakte in een stroomversnelling na de overstap naar gebruikers buiten de sector, zoals Elon Musk, Bill Gates, Joe Biden en Kanye West. Ook voorname bedrijven als Apple en Uber deden onvrijwillig mee.

Pijnlijke stilte

De eerste gedachte is dat er accountgegevens zijn gelekt of gestolen. Maar die hypothese werd al snel onwaarschijnlijk: het aantal Twitter-gebruikers dat voor de de aanval misbruikt werd, liep simpelweg te hoog op. Daarom ging het giswerk naar mogelijke oorzaken door. Zou het een nog onbekend gat zijn in de software van Twitter? Zit er misschien een bug in een veelgebruikte applicatie van een derde partij? Heeft iemand toegang gekregen tot tools die bedoeld zijn voor medewerkers van Twitter?

De situatie leidde tot grote consternatie en activiteit op het social media-netwerk. Temidden van de tumult klonk de afwezigheid van Twitter zelf het luidst: pijnlijke stilte. Pas tegen middernacht verscheen bericht dat “er een beveiligingsincident is opgemerkt”. Hieronder staan de belangrijkste gebeurtenissen van de ongeregeldheden op een rij.

22:00 uur – De eerste tweets worden geplaatst. In de tweets staan verwijzingen naar ‘CryptoForHealth.com’. De achterliggende website wordt al snel als malafide gemarkeerd door Cloudflare.

22:30 uur – De aanvallers weten dat de website die centraal stond in de oplichting niet meer effectief is. De strategie is op twee manieren veranderd: er wordt nu direct in de tweets opgeroepen bitcoins over te maken en men start misbruik van prominente accounts om het bereik te vergroten. Van deze twee (1, 2) Bitcoin-adressen is bekend dat ze door de oplichters zijn gebruikt.

22:58 uur – De oprichter van TRON, Justin Sun, heeft een bounty uitgeschreven ter waarde van 1 miljoen dollar. Het bedrag is voor degene die de identiteit van de hacker(s) kan achterhalen.

23:30 uur – De aanval is op het hoogtepunt en er zijn tientallen belangrijke Twitter-accounts overgenomen, waaronder die van Barack Obama, Joe Biden, Jeff Bezos, Bill Gates en Benjamin Netanyahu.

23:45 uur – Twitter reageert voor het eerst op het incident en meldt dat er een onderzoek is gestart naar de gebeurtenissen.

00:15 uur – De hackers lijken overgestapt te zijn op een nieuw bitcoinadres. Het afgelopen uur zijn ook veel accounts van (relatief) onbekende mensen bij de aanval betrokken.

00:18 uur – Twitter meldt dat een deel van de gebruikers niet meer kan tweeten. Ook andere features zijn uitgeschakeld, zoals het kunnen wijzigen van je wachtwoord. Verschillende gebruikers melden dat geverifieerde accounts geen nieuwe berichten kunnen plaatsen.

01:18 uur – Het onderzoek naar het voorval is nog in volle gang, meldt Twitter. De opgelegde maatregelen blijven nog in effect.

02:41 uur – Volgens Twitter kunnen de meeste accounts weer tweets plaatsen. Maar “terwijl we werken aan een oplossing, kan deze functionaliteit in- en uitgeschakeld worden.”

04:38 uur – Twitter meldt voor het eerst wat over de oorzaak van de hack. “We hebben een gecoördineerde social engineering-aanval gedetecteerd”, schrijft het bedrijf. “Een aantal van onze medewerkers met toegang tot interne systemen zijn op die manier gecompromitteerd.” Voorts meldt het bedrijf maatregelen te hebben genomen om toegang tot dergelijke administratieve systemen te beperken. Het onderzoek gaat door.

05:45 uur – De CEO van cryptocurrency exchange OKEx meldt dat de door de aanvallers gebruikte Bitcoin-adressen “direct geblokkeerd zijn” voor gebruik op zijn handelsplatform. Vermoedelijk nemen andere bedrijven soortgelijke maatregelen.

Het is onbekend hoeveel bitcoins er in totaal zijn buitgemaakt. Op de bij ons bekende adressen staat in totaal zo’n 29 BTC. Op het moment van schrijven is dat zo’n 250.000 dollar waard.

Social engineering

Volgens Twitter staat social engineering aan de basis van de aanval. Dat is een techniek waarbij een hacker zijn aanval richt op wat vaak gezien wordt als de zwakste schakel in de beveiliging van computers en netwerken: de mens. Er wordt ingespeeld op eigenschappen als nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid. Het doel is om vertrouwelijke of geheime informatie te achterhalen. De beroemdste kraker die van deze techniek gebruikmaakte, is Kevin Mitnick. Hij heeft zijn ervaringen verwoord in het boek The Art of Deception.

We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.

— Twitter Support (@TwitterSupport) July 16, 2020

In dit geval hebben de hackers op deze manier toegang gekregen tot “interne systemen” van Twitter. Vermoedelijk gaat het om een applicatie bedoeld voor administrators met directe toegang tot Twitter-accounts, zonder een wachtwoord, andere gebruikersinformatie of toestemming nodig te hebben.

Volgens bronnen van Motherboard zouden de hackers een insider bij Twitter hebben betaald om toegang te krijgen tot de systemen. In de wandelgangen zijn afbeeldingen gedeeld van de applicatie waar toegang toe is gekregen. Naar verluidt was het daarmee mogelijk e-mailadressen van Twitter-accounts te wijzigen. Op Twitter worden screenshots ervan verwijderd.

Doel onduidelijk

Vanwege de oproep om bitcoins over te maken, ligt het voor de hand om aan te nemen dat het de hackers is gegaan om geld. Toch roept het ook vraagtekens op, want met toegang tot dergelijke high profile-accounts zijn veel lucratievere strategieën te bedenken. De gekozen plan de campagne is omslachtig, opvallend en kan achteraf rekenen op scherp toezicht: Bitcoin is immers een publiek netwerk en pseudo-anoniem.

[THREAD] Here's what we know so far about today’s #Twitterhack & #Bitcoinscam. As of now, the scam’s main BTC address (bc1...0wlh) received ~$120k in donations in 375 transactions. No funds have been cashed out at exchanges yet. pic.twitter.com/Jg9og3CFCz

— Chainalysis (@chainalysis) July 16, 2020

Er circuleren daarom alternatieve theorieën. Degene die het meest genoemd wordt, draait om het vergaren van gevoelige informatie – bijvoorbeeld uit privéberichten – waarmee de getroffen personen en bedrijven gechanteerd kunnen worden. De oproep om bitcoins op te sturen zou van dat motief moeten afleiden.

In dit postulaat schuilt ook het grootste gevaar van een centraal bestuurd en invloedrijk platform als Twitter. De impact van de hack zou het ontfutselen van bitcoins ver kunnen overstijgen, bijvoorbeeld als het wordt ingezet voor politieke doeleinden of het manipuleren van de conventionele financiële markten.

Een tweede theorie doet de hack af als het werk van scriptkiddies. De stereotype scriptkiddie is een puber met een krachtige computer die zich vanuit een baldadig motief misdraagt op het internet. Dat het zou gaan om de aandacht en de kick zou blijken uit het idee dat er vrij snel contact is opgenomen met de media.

Dat ook het Twitteraccount van PVV-leider Geert Wilders is gehackt, draagt bij aan de geloofwaardigheid van de tweede theorie. Volgens techjournalist Daniël Verlaan (RTL) “hebben ze Wilders puur gepakt voor de gein”. Of de hack van het account van Wilders te maken heeft met de grootschalige oplichting is echter nog onduidelijk, evenals de betrokkenheid van één of meer Nederlanders bij de aanval.

De hacker die het account van @geertwilderspvv heeft overgenomen stelt dat hij ook achter de hacks op @elonmusk, @BillGates, @Apple en @Uber zit.

"Geert Wilders hebben we puur gepakt voor de gein." En hoe? Dat is ook duidelijk. Straks op @RTLnieuws. pic.twitter.com/RbmEU7uFlV

— Daniël Verlaan (@danielverlaan) July 16, 2020

De kracht van Bitcoin

Of het vergaren van geld het primaire doel is geweest van de aanval blijft onduidelijk. Feit is dat er om bitcoins is gevraagd. Maar waarom?

Bitcoin is een alternatief geldsysteem. Het is open, zonder grenzen, neutraal, censuurbestendig en publiek. Het is een decentraal geldsysteem en staat het qua beheer recht tegenover een geldsysteem als de euro of de dollar, waarover in feite één partij met de scepter zwaait.

Juist vanwege deze eigenschappen kan iedereen die dat wil eraan deelnemen. Daarom is Bitcoin van onmisbare waarde in de economie van Venezuela, neemt de vraag naar Bitcoin toe in landen waar de toegang tot geld ineens ontnomen kan worden, en wordt in dit El Salvadoraanse dorpje de dollar langzaamaan vervangen door Bitcoin.

Bitcoin wordt steeds vaker gebruikt en dus neemt ook het gebruik ervan door criminelen toe. In de media wordt dat eenzijdig uitgemeten, want de activiteit op het netwerk is slechts voor 1 procent aan malafide praktijken gerelateerd. Er zijn drie redenen waarom Bitcoin ook voor criminele doeleinden aantrekkelijk kan zijn:

1. Bitcoin-transacties kunnen niet worden teruggedraaid. Als je het hebt ontvangen, is er niemand die het van je kan afpakken.
2. Bitcoin is pseudoniem. Adressen staan niet op naam, dus iemands identiteit is er niet direct aan te verbinden.
3. Bitcoin is liquide en op veel plekken verhandelbaar.

Toch is malafide gebruik van Bitcoin verre van een walk in the park. De sector is nog klein en werkt samen om het buitengewoon lastig te maken om op deze manier verkregen bitcoins om te kunnen zetten naar andere valuta. Er zijn analysebedrijven die er een sport van maken om de gestolen bitcoins te volgen. De zogeheten on- en offramps staan onder toezicht en kunnen (vaak) niet gebruikt worden zonder je te identificeren. En er worden snel maatregelen getroffen om gebruikers te beschermen; zo zorgde Coinbase ervoor dat er vanuit de exchanges niets naar de aanvallers opgestuurd kon worden.

Coinbase has blacklisted the Twitter hacker's Bitcoin address.#Bitcoin pic.twitter.com/3Vc08G43li

— cryptogosu (@cryptogosu) July 15, 2020

Natuurlijk doen hackers hun best om aan deze dans te ontkomen, bijvoorbeeld door tools te gebruiken die activiteit rond het gestolen geld te verhullen. Dat is, net als in de fysieke wereld, een oneindig kat-en-muisspel. Zorg er daarom voor dat je op je hoede bent voor beloften van gratis geld op het internet. Of dat nu in de vorm van dollars, euro’s of bitcoins is.