Massive Bitcoin-Betrugswelle überrollt Twitter

Prominente Twitter-Konten wie jene von Bill Gates, Elon Musk, Jeff Bezos, Apple und Uber versprechen derzeit eine Verdoppelung von Bitcoins, die an bestimmte Wallets geschickt werden. Auch zahlreiche Kryptowährungs-Börsen twittern ähnliche "Einladungen". Teilweise wird auf eine angebliche Kampagne "Crypto for Health" Bezug genommen. Auch Politiker-Konten wie jene von Barack Obama, Joe Biden und Kanye West wurden nicht verschont.

Es handelt sich um einen groß angelegten Betrugsversuch. Wahrscheinlichstes Szenario ist derzeit eine Sicherheitslücke bei Twitter, die den Tätern Zugriff auf zahlreiche, vielleicht sogar alle Twitter-Konten gestattet. Daher kann nicht ausgeschlossen werden, dass die Täter beliebigen Twitter-Konten weniger auffällige Tweets unterschieben. Nun ist besondere Vorsicht bei der Interpretation von Tweets geboten.

Bild 1 von 7

Crypto for Health (7 Bilder)

Warren Buffet

heise online hat Twitter um Stellungnahme ersucht. Soweit ersichtlich, sind vorwiegend von Twitter verifizierte Twitter-Konten betroffen. Twitter hat die Reißleine gezogen und verifizierten Konten zwischenzeitlich die Schreibberechtigung entzogen. Google hat offenbar Tweets aus den Suchergebnissen entfernt, die einschlägige Bitcoin-Adressen enthalten.

Leider haben die Betrüger Erfolg und auf der angegebenen Adresse bereits rund 12,86 Bitcoins erhalten, der Gegenwert liegt etwas über hunderttausend Euro. Die Täter haben das Geld auch bereits bewegt. Twitter-Aktien haben im nachbörslichen Handel mehr als drei Prozent ihres Wertes eingebüßt.

[UPDATE, 16.07.2020, 9:00]

"Ein harter Tag für uns bei Twitter", hat sich schließlich Twitter-Chef Jack Dorsey auf Twitter zu Wort gemeldet, "Wir fühlen uns alle furchtbar, weil das passiert ist. Wir diagnostizieren, und werden alles, was wir können, veröffentlichen, wenn wir ein besseres Verständnis davon haben, was genau passiert ist." Außerdem verlieh Dorsey seiner Zuneigung zu den Mitarbeitern, die hart an der Lösung des Problems arbeiten, Ausdruck.

Nach ersten Erkenntnissen des Kurznachrichten-Dienstes wurden in einer koordinierten Social-Engineering-Attacke Twitter-Mitarbeiter mit Zugang zu internen Systemen ins Visier genommen. Seit Beginn der Corona-Krise arbeitet ein Großteil der Twitter-Beschäftigten von Zuhause aus. Zugleich berichtete die Website Vice unter Berufung auf einen angeblichen Angreifer, sie hätten auch einen Twitter-Insider für seine Hilfe bezahlt. Die Angaben ließen sich zunächst nicht unabhängig bestätigen.

Twitter erklärte, dass alle kompromittierten Accounts gesperrt worden seien – der Zugang für die rechtmäßigen Inhaber solle auf sicherem Wege wieder hergestellt werden. Wie das ablaufen soll, erklärte Twitter noch nicht. Die sicherheitshalber verhängten Funktionseinschränkungen für verifizierte Accounts, die nicht kompromittiert waren, wurden größtenteils schon wieder aufgehoben. Derzeit liefen die Untersuchungen noch.

Über die Angreifer ist praktisch nichts bekannt. Die BBC weist in einem Bericht auf die Domain cryptoforhealth.com hin, auf die manche der falschen Tweets Nutzer locken wollten. Die Domain sei auf einen "Anthony Elias" registriert, wahrscheinlich ein Pseudonym; die dabei angegebene Mailadresse lautet demnach mkeyworth5@gmail.com.

Ebenfalls findet sich auch ein Instagram-Profil namens Crypto For Health. Die Profilbeschreibung lautet "It was us 🙂" – übersetzt: "Wir waren es". Das einzige Posting ist ein Bild des Twitter-Vogels im Stil eines Hacking-Symbolbilds, dazu mit Hashtag versehene Namen von Betroffenen des Twitter-Hacks wie etwa "#elonmusk". Die BBC schreibt hingegen von einem offenbar inzwischen gelöschten Posting, in dem übersetzt stand: "Es war eine Wohltätigskeits-Attacke. Euer Geld wird den Weg zu seinem richtigen Platz finden."

(ds)