twitter-Accounts: Betrüger locken mit Versprechen eines schnellen Verifizierungsprozesses

Die offizielle Verifizierung für „Accounts von öffentlichem Interesse“ soll gerade vor betrügerischen, vorgetäuschten und nachgeahmten Konten schützen

[datensicherheit.de, 09.01.2017] „Verifizierte Accounts“ auf twitter sollen eine wirkungsvolle Möglichkeit für Marken sein, sich von betrügerischen, vorgetäuschten und nachgeahmten Konten auf dieser Social-Media-Website abzuheben. Wenn ein Account offiziell verifiziert wurde, erscheint neben dem Namen künftig ein spezielles Zeichen, um twitter-Nutzern zu signalisieren, dass sie mit der echten Marke statt mit einem Nachahmer interagieren.
Seit Kurzem jedoch, so proofpoint, setzten Bedrohungs-Akteure das Versprechen der Account-Verifizierung ein, um Nutzer mit einem Kreditkarten-Phishing-Schema zu ködern.

Verifizierung für „Accounts von öffentlichem Interesse“

Den Prozess der Account-Verifizierung bietet twitter für „Accounts von öffentlichem Interesse“ an – bei diesem müssen Marken mehrere Verifizierungsetappen durchlaufen.
Vor diesem Hintergrund sei das „Versprechen eines schnellen Verifizierungsprozesses“ nun vor allem für kleinere Unternehmen attraktiv, denen unter Umständen die Ressourcen fehlten, um die Anforderungen von twitter für die Account-Verifizierung zu erfüllen, warnt proofpoint.

Im Dezember 2016 von proofpoint-Forschern aufgedeckter Phishing-Angriff

Bei einem im Dezember 2016 von proofpoint-Forschern aufgedeckten Phishing-Angriff hätten die Angreifer seriös wirkende Werbeanzeigen platziert, die sich an Markenmanager und -Influencer gerichtet hätten. Diese Anzeigen hätten einen Link zu einer Phishing-Website enthalten, auf der die angebliche Account-Verifizierung angeboten werde.
Die Anzeigen selbst seien von einem Konto gekommen, welches das offizielle Support-Account von twitter, „@support“, nachahmt: Das betrügerische Konto, „@SupportForAll6“, verwende das Branding, die Logos, die Farben usw. von twitter, um trotz einer sehr geringen Follower-Zahl und eines verdächtigen Namens die Glaubwürdigkeit zu verstärken.
Ein zentrales Element dieses Betrugsversuchs seien von twitter gesponserte Werbeanzeigen, die in den Feeds der Nutzer auftauchten, ohne dass eine Interaktion notwendig sei bzw. Nutzer dem Account folgen oder eine direkte Nachricht verschicken müssten.
Nach dem Anklicken des Links würden Nutzer auf die Domäne „twitterhelp[.]info“ umgeleitet. Dieser Domänenname sollte die Alarmglocken schrillen lassen – der Rest erscheine jedoch glaubwürdig. Die Seite selbst imitiere die auf der offiziellen twitter-Seite verwendeten Farbschemata und Formulierungen.
Wenn Nutzer den Prozess über das betreffende Formular starten, erscheine ein neues Formular, in dem verschiedene persönliche Daten abgefragt würden, einschließlich twitter-Nutzername, E-Mail-Adresse, Telefonnummer und – ganz wichtig – das Account-Passwort.
Nachdem der Nutzer diese Daten angegeben hat, werde ein neues Formular angezeigt, in dem zu „Identifizierungszwecken“ nach der Kreditkartennummer und dem Sicherheitscode gefragt werde. Im Formular stehe, dass dem Nutzer für diesen Prozess keine Kosten entstünden, jedoch beinhalte es eine Vorlage von „Github“ zur Extraktion von Zahlungsinformationen. Während im Formular eine Validierung der Account-Daten nicht vorgesehen sei, wodurch Nutzer auch leere Werte eingeben könnten, gelte das nicht für die Finanzinformationen – diese könnten nicht ohne die angeforderten Kreditkartendaten übermittelt werden.
Am Ende werde den Nutzern gedankt und mitgeteilt, dass sie in Kürze eine E-Mail mit den Verifizierungsinformationen erhalten und sie dann auf die offizielle Domäne „twitter.com“ umgeleitet würden, was den Eindruck, es handle sich um einen legitimen Vorgang, zusätzlich verstärke. twitter sei mit Einzelheiten zu diesem Angriff kontaktiert worden.

Kombination von Phishing-Methoden, „Social Engineering“ und Identitätsbetrug

Dieses „technisch nicht besonders raffinierte Schema“ sei ein „hervorragendes Beispiel“ dafür, wie Angreifer traditionelle Phishing-Methoden, „Social Engineering“ und Identitätsbetrug miteinander kombinierten, um letztlich auf neue Art und Weise Geld zu machen.
Zwar habe proofpoint diesen speziellen Angriff auf twitter beobachten können, doch Betrugsversuche dieser Art könnten auf jeder Social-Media-Plattform mit einer Form der Account-Verifizierung realisiert werden.

Weitere Informationen zum Thema:

proofpoint, 28.12.2016
Keine Verifizierung im Schnellverfahren: Diebstahl von Anmeldedaten und Kreditkartennummern bei Phishing-Angriff auf Social-Media-Verifizierung

datensicherheit.de, 11.10.2016
Proofpoint auf der „it-sa 2016“: Neue Rechercheergebnisse zu Ransomware- und Banking-Trojanern