Twitter: Promi-Konten gehackt

Tim Berghoff erläutert Schutzmaßnahmen für Twitter-Anwender und Nutzer anderer Sozialer Medien

[datensicherheit.de, 16.07.2020] „Wie am Donnerstag bekannt wurde, konnten sich bisher unbekannte Angreifer Zugriff auf eine Reihe von Twitter-Profilen zahlreicher Personen des öffentlichen Lebens verschaffen, um von diesen Accounts aus Werbung für Bitcoin-Betrugsdeals zu posten“, berichtet in seiner aktuellen Stellungnahme Tim Berghoff, „Security Evangelist“ bei G Data. Zu den bekannten Opfern zählten etwa Politiker wie Barack Obama und Joe Biden, aber auch die Unternehmer Jeff Bezos und Elon Musk.

Foto: G Data

Tim Berghoff: Maximum an Sicherheit mittels Hardware-basierter Absicherung zusammen mit einem komplizierten Passwort

Bitcoin-Spam-Versand: Twitter musste Promi-Konten zeitweise blocken

Die Betreiber des Kurznachrichtendienstes selbst sprachen demnach von einem „Sicherheitsvorfall“ – als Reaktion seien über eine Stunde nach der Kompromittierung die Konten zahlreicher Prominenter, Regierungschefs und anderer bedeutenden Persönlichkeiten zeitweise von Twitter geblockt worden – dies sollte der Verbreitung des Bitcoin-Spams ein Ende setzen.
Wenige Stunden später seien die Konten wieder freigeschaltet worden. Der „CEO“ der „Social Media“-Plattform, Jack Dorsey, habe sein Bedauern über den Angriff ausgesprochen und versprochen, sich um Aufklärung zu kümmern. Mittlerweile habe die Twitter bekanntgegeben, dass ein sehr raffinierter Social-Engineering-Angriff Ursache der koordinierten Attacke gewesen sei.

Nicht nur Twitter: Sicherheitsfragen zum allgemeinen Umgang mit Sozialen Netzwerken aufgeworfen

Der Vorfall sei deshalb „besonders erschreckend“, da Angreifer dieses Mal eine Vielzahl reichweitenstarker Accounts gleichzeitig hätten in Beschlag nehmen können. Berghoff: „Er wirft Sicherheitsfragen zum allgemeinen Umgang mit Sozialen Netzwerken auf – denn auch abseits dieses sehr spektakulären Angriffs werden immer wieder Konten von Privatpersonen und Unternehmen übernommen.“ Um seine Konten maximal abzusichern, sei es essenziell, „dass Nutzer zunächst über die vielen Risiken informiert sind, die etwa beim Öffnen unbekannter Links drohen“. Auch mit den wichtigsten Arten von Phishing-Versuchen sollten User vertraut sein – denn nur wenn man die Gefahren kennt, könne man sich vor ihnen schützen.
Weiterhin sollten Anwender bei der Wahl von Passwörtern höchste Ansprüche an die Sicherheit stellen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehle Usern, möglichst lange Kennwörter mit mindestens acht Zeichen zu verwenden – grundsätzlich aber gelte: „Je länger, desto besser; auch 20-25 Zeichen sind erlaubt.“ Außerdem von Vorteil sei die Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Grundsätzlich sei es wichtig, „dass das Passwort komplex und gleichzeitig möglichst leicht zu merken ist“. User könnten zum Beispiel einen ganzen Satz als sogenannte Eselsbrücke nutzen und von jedem Wort nur den ersten Buchstaben verwenden, ergänzt durch Zahlen und Sonderzeichen. „Auch möglich ist die Nutzung eines kompletten Satzes als Passwort selbst. Komplizierte Kennwörter sind für Angreifer deutlich schwieriger zu erraten als einfache“, erläutert Berghoff.

Für Twitter und auch andere Anwendungen: Nutzung der Zwei-Faktor-Authentifizierung empfohlen

Einen weiteren Sicherheitslevel stellten Passwortmanager dar, denn durch sie müssten User sich die komplexen Log-In-Daten nicht selbst merken – lediglich ein Passwort müssten Nutzer behalten, nämlich das, welches den Zugang zum Dienst selbst ermöglicht. „Passwortmanager verwalten Anmeldedaten in verschlüsselter Form, was dem Nutzer zusätzliche Sicherheit bietet. Ein weiterer Vorteil ist, dass diese Dienste auch vor Phishing-Versuchen und dubiosen Websites warnen“, führt Berghoff aus: Nämlich durch den zusätzlichen Abgleich der URL mit der tatsächlich aufgerufenen Webseite, welche der Nutzer im Manager gespeichert hat. „Stimmt hier etwas nicht überein, wird der jeweilige User gewarnt.“
Zuletzt sei die Nutzung der Zwei-Faktor-Authentifizierung zum effektiven Schutz von Konten unbedingt zu empfehlen. Zahlreiche Webseiten und Apps böten die Möglichkeit der Anmeldung mit einem Passwort in Verbindung mit etwa einem Hardware-Key oder einem SMSbis-Code. Weiterhin stellten einige Dienste die Nutzung eines zusätzlichen TAN-Generators bereit. „Um ein Maximum an Sicherheit zu gewährleisten, bieten sich Hardware-basierte Möglichkeiten der Absicherung an. Ergänzend zu einem komplizierten und dennoch einfach zu merkenden Kennwort, beziehungsweise der Nutzung eines Passwortmanagers, sind Nutzer somit effektiv vor der Kompromittierung ihres Accounts geschützt.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.10.2019
twitter: Datenmissbrauch zur Personalisierung von Werbung

datensicherheit.de, 04.01.2019
twitter-Vorfall: Umfang veröffentlichter Daten immens