Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Aanvallers stelen Twitter-accounts van journalisten om nepnieuws te verspreiden

Door , 80 reacties

Op Twitter lijkt al enige tijd een aanval gaande die als doel heeft om het account van activisten en journalisten over te nemen, om vervolgens nepnieuws te verspreiden. Er zijn slachtoffers gemeld in Venezuela, Bahrein en Myanmar.

De aanval werd opgemerkt door Access Now, een groepering die zich naar eigen zeggen bezighoudt met het verdedigen van 'digitale rechten'. Zij merkten op dat in de afgelopen tijd verscheidene journalisten en activisten zich bij de groep meldden vanwege diefstal van hun Twitter-account.

Deze zogenaamde DoubleSwitch-aanval werkt doordat aanvallers eerst proberen de inloggegevens van een Twitter-account te achterhalen door phishingmethoden. Vervolgens veranderen zij het wachtwoord en het bijbehorende e-mailadres, en wordt de accountnaam veranderd. De aanvallers maken daarna een nieuw account aan onder de originele accountnaam, die ze tevens voorzien van dezelfde profielfoto en profielinformatie als het originele account.

Nadat het originele account als het ware is vervangen, wordt het volgens Access Now gebruikt om misleidende informatie en nepnieuws mee te verspreiden. Alhoewel het nieuwe account dat de originele accountnaam heeft overgenomen niet over dezelfde volgers beschikt, zorgt het toch voor verwarring.

Volgens Access Now zijn er meldingen van activisten en journalisten in Venezuela, Bahrein en Myanmar van wie accounts zijn gestolen. Ook in andere landen zouden de DoubleSwitch-aanvallers actief zijn, al werden deze niet bij naam genoemd.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

10-06-2017 • 09:18

80 Linkedin Google+

Reacties (80)

Wijzig sortering
Waarom is een oude accountnaam die hernoemd is direct weer te gebruiken bij een registratie? Als Twitter deze nou bevriest voor een bepaalde tijd moeten ze deze hacks zo de kop in drukken.

Een fake account zoals @ piet_pieterse i.p.v @ pietpieterse kan natuurlijk ook. Maar in dat geval is er geen sprake van een direct podium voor het nepnieuws.

[Reactie gewijzigd door AW_Bos op 10 juni 2017 09:27]

Een betere vraag is waarom journalisten en activisten geen 2FA gebruiken, lijkt mij dat als je een Twitter account voor 'werk' doeleinden gebruikt dat je deze ook degelijk beveiligd. Nu is phising nog steeds mogelijk als je 2FA aan hebt staan maar het wordt een heel stuk moeilijker om zo een aanval uit te voeren.
In (semi-)dictaturen zoals Venezuela, Bahrein en Myanmar lijkt me het niet slim om als activist iets met SMS te doen. Laat staan iets anders wat niet door Tor of vergelijkbaar kan worden getunneld. En zeker niet als het om login van accounts gaat.

[Reactie gewijzigd door RoestVrijStaal op 10 juni 2017 10:32]

Twitter ondersteunt ook 2fa dmv push notifications op iOS en Android, dus SMS is niet per se nodig. Wel jammer dat het geen TOTP ondersteunt.
Eerder jammer dat het netwerk nog steeds geen challenge-response gebaseerde 2FA (U2F) ondersteunt, terwijl Facebook en Google Plus dat nu al een behoorlijke tijd doen. Maar het kan nog erger: Reddit heeft niet eens 2FA. :(

[Reactie gewijzigd door PostHEX op 10 juni 2017 22:23]

Twitter ondersteunt al een tijdje TOTP...
En waarom is het niet slim om SMS te gebruiken in dergelijke landen? Er gaan alleen maar wat nummertjes doorheen, niks gevoelig wat af te luisteren is.
Met SMS ben je direct te herleiden tot een persoon, waarna je de bak in kunt belanden na kritiek op de overheid bijvoorbeeld.
Het enige wat de SMS aan kan tonen is dat je inlogt op twitter, meer niet. Aangezien het moment van inloggen niet eens hetzelfde hoeft te zijn als het moment van posten is correlatie al moeilijk, vooral omdat dergelijke overheden waarschijnlijk geen toegang hebben tot de logs en servers van Twitter.
Het nummer waarop je 2FA doet is ook niet zichtbaar in je profiel, dus ook daar valt niks uit te halen.
Het probleem is alleen dat jij iets rationeel probeert te bestrijden.
Terwijl ze daar niet rationeel naar het probleem kijken.

Jij mag je verhaaltjes en je uitlegjes over wat ze allemaal wel niet fout doen vanuit de gevangenis tegen een lege muur aan gaan zitten houden in dat soort landen.
Jij snapt er echt niets van, ik wens niemand de bak in.
Ik beschrijf gewoon wat er gebeurt als ze je controleren en je inlogt met SMS, dan kan jij leuk aankomen met "Het enige wat de SMS aan kan tonen is dat je inlogt op twitter, meer niet."
Maar er is daar simpelweg niemand die daar naar luistert. Net zomin als er naar de rest van je betoog geluisterd wordt...

Je hebt een sms van twitter ontvangen, oftewel je mag de bak in. En met een beetje geluk krijg je binnen een jaar een rechter te zien.
Bijna niemand gebruik 2factor. Als ik bij mij om me heen kijk, bij bekenden etc. zelfs bij collega softwareontwikkelaars ben ik de enige!
Snap niet dat zowat niemand het gebruikt. Ik gebruik het overal waar het maar mogelijk is en alle bekenden haal ik over om hetzelfde te doen. Een gebruikersnaam en wachtwoord is in veel gevallen niet genoeg.
De reden dat het niet gebruikt wordt is omdat voor velen de mogelijke gevolgen een ver van mijn bed show zijn maar ook het als 'lastig' ervaren.
Probleem is dat ze opeens lastig niet meer erg vinden wanneer hun Facebook account is gehacked en ze er achter komen dat eigen FB account terug krijgen opeens onmogelijk is :)
De reden is natuurlijk niet zo moeilijk te verzinnen: het is gewoon lastiger. En dat terwijl er al veel betere opties zijn dan username/password, maar die wel hetzelfde gebruiksgemak bieden.
Omdat je je telefoonnummer o.i.d. moet opgeven, waar ik niet op sta te wachten. Omdat die gegevens ook weer gebruikt worden voor profilering en marketingsdoeleinden.

Ja-ja, in de huidige voorwaarden zal wel staan dat die gegevens enkel gebruikt mogen worden voor 2FA. Wat er ook in staat is dat bedrijf XYZ ten alle tijden de voorwaarden al dan niet met kennisgeving mag wijzigingen (anders mag je je account verwijderen 8)7 ). Waardoor het in de toekomst nog steeds mogelijk is om die gegevens voor andere doeleinden te gebruiken.

Eens gegeven, altijd onthouden.

[Reactie gewijzigd door RoestVrijStaal op 11 juni 2017 11:18]

Omdat het tijd kost.
Ik heb er een bijna een hekel aan gekregen.

De mensen om mij heen mogen mijn computer gebruiken, de online accounts zijn mij niet genoeg waard om extra te beveiligen. Van efficient werken wordt ik blij, niet van security.
Ik hoop dat je met deze instelling niet in de IT werkzaam bent. Beveiliging is namelijk een taak van ons allemaal en 2FA maakt het echt niet complexer, net zoals meerdere accounts op een computer het niet complexer maakt.

Complex wordt het namelijk pas wanneer er behoorlijke problemen voorkomen hadden kunnen worden door 2FA en het aansprakelijksverhaal naar voren komt.
Ik ben wel in de IT werkzaam. Ik hoef niet een code van mijn mail of mobieltje in te voeren om via SSH in te loggen of git commits te pushen. Mijn private key houd ik uiteraard privé.

Common sense is mijn echte tweede beveiliging. Dingen downloaden uit betrouwbare repos, geen laptop laten slingeren. Niks wat ten koste van mijn workflow gaat.
Totdat je weer toegang wilt tot je account omdat je private key per ongeluk toch bewaard was bij een CDN cache (zoals het cloudfare "incident") of op enig andere plek waar je geen invloed op hebt.

Bij bijna alle apps heb je een optie om je locatie als vertrouwd op te geven en hoef je het maar een keer te doen.
Ik gebruik het ook enkel op mijn belangrijkste accounts, mijn emails en password managers.
Waarom niet op alles wat 2FA ondersteund. Dan hoef je ook niet na te denken over wel of niet maar wordt het gewoon een standaard iets. Ik zelf heb op meer dan 20 accounts 2FA aan staan en ondervind geen issues of gebruikers problemen.

Vind het trouwens jammer dat Tweakers geen 2FA heeft, terwijl het eenvoudig is te implementeren met bijvoorbeeld de Google Authenticator die ook door MS, FB, Joomla, Google en Dropbox worden gebruikt
2factor gebruik in altijd als het via een TOTP app gaat, Bij twitter gaat het met een sms en dat gebruik ik dus niet (net als facebook e.d.).
FB gebruikt Google Authenticator App wanneer je dat wilt.
Net getest, werkt niet zonder telefoon nummer erbij!

Tweestapsverificatie instellen?:
Je moet een telefoon of zowel de beveiligingssleutel als de codegenerator toevoegen om tweestapsverificatie in te kunnen schakelen.


dus of een telefoon nummer OF Codegenerator (totp) EN beveiligingssleutel (zo'n usb ding wat ik niet heb/gebruik)

[Reactie gewijzigd door bilbob op 10 juni 2017 20:17]

Dat is bij FB inderdaad het nadeel dat ook voor de App het nummer benodigd is om het aan te kunnen zetten.

Zelf getest om het aan te zetten en dan nummer verwijderd, maar dat lukt dus niet zoals je waarschijnlijk zelf al gemerkt hebt.

Wel raar want voor veel authenticator aware sites is mobiel nummer niet nodig.
de vraag die ik stelde voordat ik over 2fa dacht is, waarom heb je als journalist geen lang min of meer random password wat niet zomaar gegokt kan worden, of waarom gebruiken ze hetzelfde wachtwoord van iets anders voor twitter, of waarom werken ze mee aan phishing pogingen.
, waarom heb je als journalist geen lang min of meer random password wat niet zomaar gegokt kan worden,
''Als journalist'' doet er niet toe. Het zijn net mensen en niet per se verstandiger in veilig werken. Ze hadden ook minister of docent kunnen zijn.
als een minister een twitter account heeft, heeft hij die hopelijk als prive persoon en niet voor zijn werk. voor zijn werk moet hij platform onafhankelijk zijn, in mijn mening. dan kan die account ook gehackt worden, maar dan is het niet 'minister plasterk' maar 'ronald plasterk' die foute info verspreid.

als je als journalist werk posts maakt op een prive twitter account, die wordt dan gehackt en gebruikt om valse info te verspreiden, tja, eigen schuld, dikke...
mijn post 13:54 uur en die ander 13:58 uur.
Dus wat is jouw punt ....
zie mijn reactie erop bedoelde ik
uhh, Trump? ik noem maar iemand..
Die kan dus ookf flink worden beschadigd door een hack. Hopelijk heeft hij wel 2fa en een lang password :P
Hij heeft het beste wachtwoord zelfs.
Ja, best apart... Op zich een vrij simpele stap welke het zo veel moeilijker maakt om een account te stelen (je kan weliswaar proberen de validator ongedaan te maken via een procedure, maar daarvoor moet je flink wat gegevens hebben van de persoon).
Mijn vrouw haar telefoon is toevallig net een paar dagen geleden gejat. En dan gaat het ook lekker hoor, die 2FA. Alles en iedereen stuurt alles naar je tel of vraagt om 2FA vanaf een tel, die je dus niet meer hebt.

Het maakt de telefoon wel heel erg een single point of failure.
Dat wel... Zoals ik al wel zei, je kan 2FA over het algemeen ongedaan maken, maar het is wel een gedoe.
War ik niet snap is waarom ze eerst het originele account hernoemen en daarna een nieuw account maken met de oude naam. Is het niet net zo 'goed' om gewoon de login gegevens en email van het origineel te veranderen en daar dan mee door te gaan? Lijkt me dat je dan ook geen volgers kwijt raakt etc.
Precies dit snap ik ook niet.
Het punt is dat het recovery mailadres nog bij het slachtoffer terecht komt. Door een nieuw account aan te maken hebben ze de volledige controle. Al is het verliezen van volgers weer niet zinnig.
Op het plaatje staat letterlijk ;

"You're locked out of your account andere cannot use the standaard recovery processes to get it back. (The automated recovery email will go to the hijacker)"

Ze veranderen nl als eerste je mail adres.

Dus nee, je krijgt niet je account terug en blijft het inderdaad vaag dat ze de naam veranderen en een nieuw account aanmaken.
Als het goed is kan je wel je orginele account terug krijgen aangezien de recovery email nog naar het oude email adres word gestuurd. Alleen hebben ze de naam veranderd en een andere account aangemaakt en die de zelfde naam gegeven als jouw account eerst had. Dus die kan je niet meer gebruiken, dus in die zin ben je je account(naam) kwijt.
Zij veranderen het email adres zoals staat in stap 2, wat ook gewoon kan want als je inlogt op je account kan je je email adres aanpassen.

Hier onder staat een logische verklaring voor het aanmaken van een nieuwe account met je naam, en dat omdat Twitter blijkbaar een "My account had been compromised" functie heeft waarmee zij hem misschien alsnkg terug kunnen krijgen. Maar dan ben je je naam kwijt. (Al kan Twitter daar vast wel mee helpen, maar dan is het fake nieuws misschien al verspreid)
Ze veranderen het email adres idd maar met de functie van Twitter die je beschrijft word er volgens mij juist een email gestuurd naar het oude email adres. Dit omdat men weet dat het eerste wat een account dief doet is de email veranderen. Daarom gebruikt een account dief, die op je naam uit is om die zelf te gebruiken, ook een nieuwe account met jouw naam zodat die truc van het oude mail adres gebruiken bij een recover functie van Twitter niet meer mogelijk is. Wat je orginele accountnaam betreft iig. Je kan je account dus nog wel terug krijgen met die recover functie maar e oude naam is al in gebruik
Volgens mij helpt twitter met je account terug te krijgen als hij compromised is, en gaat er dus geen mail naar je oude mail adres..

Maar goed, ik zit niet op twitter, dus heb er eigenlijk geen verstand van :-)
Ik wel maar ben verder niet bekend met de account recovery procedure, maar dat is wat ik opmaak uit de reacties.
Nee - want Twitter kan relatief makkelijk dat terugdraaien wanneer degene die getroffen is zich meldt en bewijst dat diegene geen toegang meer heeft. Natuurlijk kan Twitter ook de naam etc van de nepaccount wijzigen, maar om dat voor elkaar te krijgen moet je net iets meer werk verrichten, en social media bedrijven staan er nou niet echt bekend om dat ze vaak dat 'stapje extra' zetten... Het gebeurt wel, maar alleen als ze dreigen een boel mensen te verliezen/flink wat geld te verliezen als ze het niet doen.
Eerst e-mailadres wijzigen inderdaad, dan nieuw account registreren met het originele e-mailadres. Zelfde resultaat maar dan mét volgers en verified vinkje indien aanwezig.
Vaak kan je een e-mail adres alleen wijzigen na het klikken op een link die naar het oude e-mail adres gestuurd wordt. Waarom dit met alle andere zaken niet zo is, geen idee.
Ik vermoed om ervoor te zorgen dat de vorige eigenaar het nieuwe account niet terug kan claimen via een "Help, my account is compromised" formulier.
Mensen in een bepaalde circle volgen elkaar.
Als de kwaadwillenden gelijk met het gecompromizede account nepnieuws en misinformatie gaan verspreiden dan heeft de eigenaar ervan ze snel door.

Het lijkt erop dat deze aanval puur wordt ingezet om nieuwe aanwas in te dammen.
Ik zou wel eens willen weten dat de definitie hier van nepnieuws is. Volgens mij zijn het vaak feiten die niet in jou persoonlijke denkbeeld passen, dat maakt het nog geen fake nieuws maar gewoon tegenvallend nieuws.

Natuurlijk zijn er veel nieuws kanalen die echt expres de boel verdraaien maar dit soort acties worden vaak opgezet omdat de overheid zelf de feiten verdraaid om het draagvlak onder de burgers te behouden.

Door het volk expres dom te houden loop je als overheid het risico op een later tijdstip de frustatie en woede voor je kiezen te krijgen met als gevolg een opstand. Ik zeg vast; welkom in de 21e eeuw.

Kleine aantekening; Als ze het op de twitteraccounts neerzetten als een persoonlijke opinie dan is het nog steeds een mening waar je over kunt debateren maar dat is in geen geval Nepnieuws maar gewoon niet de mening van de lezer.

[Reactie gewijzigd door downcom op 10 juni 2017 14:01]

Als de kwaadwillenden gelijk met het gecompromizede account nepnieuws en misinformatie gaan verspreiden
Hij heeft het niet over het nieuws van de journalisten, maar over het nieuws dat de hackers met de gehackte account gaan verpreiden.
Ik zou wel eens willen weten dat de definitie hier van nepnieuws is.
Ik vond die ene waar Merkel arm-om-schouder op de foto staat met een allochtone jongen en als bijschrift staat dat de dader van de Berlijn-Kerstmarkt-2016-aanslag een selfie maakt met Merkel een goed schoolvoorbeeld voor nepnieuws :)

Kom op, iemand die kwaad wil doen speelt zichzelf niet in de kijker 8)7
En het evt. blauwe vinkje blijft ook gewoon staan dan, het is dus een verified twitter account. Mooie boel!
Oftewel, het "verified" vinkje is gekoppeld aan een accountnaam, niet aan een account. Dat is best knullig.
Nee, nu haal je het in de war. Het 'vinkje' is natuurlijk gekoppeld aan de 'account'. Net als de accountnaam. Als je de accountnaam wijzigt, blijft het dezelfde account, dus ook hetzelfde vinkje.
Waar baseer je dat op? Kan het nergens terugvinden.
Ze maken juist een nieuw account met dezelfde naam als het oude account vóór de hernoeming. Lijkt me sterk dat dat nieuwe account dan verified is.
En de belangrijkste informatie uit het artikel, waarin overigens geen aantallen van meldingen worden genoemd, alleen twee individuele cases
This attack is reproducible (sic) on other social media services, including Facebook and Instagram.
waarom is een twitternaam dan niet 30 dagen onbruikbaar?
Wat voor nepnieuws wordt er zo verspreid? Wie heeft er zoveel belang bij hey bestrijden van nepnieuws dat ze er twitteraccounts voor hacken?
Ik denk zelf gelijk aan Bitcoin trading als voorbeeld. Bitcoin kwam positief in het nieuws, en voor we het wisten was de koers 1000 dollar gestegen...
Social media worden breed ingezet voor het promoten van merken en produkten. Daar bestaat een hele industrie omheen.
Kan me zo voorstellen dat het langs deze weg ook geld kan opleveren.
Ah je bent dus bij twitter kennelijk (onderhuids) geen (uniek) nummer, maar alles is werkelijk gekoppeld aan je "handle". Mjah dan kan je dit soort effecten krijgen bij hergebruik als je niet alle followers mee laat verhuizen bij een wijziging van de handle.
Alhoewel het nieuwe account dat de originele accountnaam heeft overgenomen niet over dezelfde volgers beschikt, zorgt het toch voor verwarring.
Zou het niet opvallen dat het gehele archief van eerdere tweets weg is?
Zou het niet opvallen dat het gehele archief van eerdere tweets weg is?
Kijk jij dat dan elke keer als je een tweet leest? Ik niet.
Oké een heel verhaal om eigenlijk maar 1 ding te laten zien:
'Hackers' die de originele username innemen met een nieuw account

Als je zowel je account als je emailadres verliest ben je echt beroerd bezig. (ook al doen de meeste daar dezelfde wachtwoorden voor...)

Als het zo zichtbaar is welke accounts nu zijn 'gehijacked' - wat voor nepnieuws verspreiden die dan? Know your enemy
Als je zowel je account als je emailadres verliest ben je echt beroerd bezig.
Wat ik beroerd vind is wanneer iemand de slachtoffers de schuld geeft van een misdaad.

Ze hebben hun accounts onvoldoende beveiligd (blijkbaar!) maar het is niet alsof ze geen beveiliging hadden.
[...]

Wat ik beroerd vind is wanneer iemand de slachtoffers de schuld geeft van een misdaad.
Natuurlijk zijn de misdadigers wat mij betreft strafbaar bezig. Die krijgen de 'schuld'. Lijkt me ook dat Twitter moet zorgen dat 'de handle' niet zomaar te veranderen is. Het internet is alleen geen kinderspeelgoed.

Ze hadden zeker geen wachtwoord manager met random-gegenereerde wachtwoorden. Waarschijnlijk 1 wachtwoord voor alles.

Stap 1. Google naar de activist, de verschillende usernames en emailadressen
Stap 2. Zoek het emailadres op in gelekte gegevens van websites
Stap 3. 'Hack' het account

Je hebt toch ook een slot op je deur?
Of laat je die dag en nacht open?
Is het dan geen nep-nep nieuws? Gemiddelde journalist is geen freelancer en werkt voor de grote jongens, die zijn niet vies van wat nep nieuws. Enige dienik vertrouw is liveleak en de twitter pagina,s die geoepend worden na een parijs attack of zoals 3 jaar terug in kiev. Maar zeker geen persoonlijke journalist twitter pagina.

Term fake news ben ik ook wel goed beu. Want wat is daar definitie van. Rt vinden ze ook fakenews of al jazeera. Maar dat zijn betere bronnen dan de nos.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*