Twitter- en YouTube-accounts van Britse leger verspreidden cryptoscam na hacks

De Twitter- en YouTube-accounts van het British Army zijn in het afgelopen weekend gehackt en overgenomen. De criminelen pasten de namen van de accounts aan en verspreidden cryptoscams. Inmiddels heeft het Britse leger de controle over de accounts terug.

De socialemedia-accounts werden afgelopen zaterdag overgenomen en deden zich allebei voor als twee losse crypto-organisaties. Het Twitter-account deed bijvoorbeeld alsof het onderdeel was van nft-collectief The Possessed. Daarbij werden 'speciale' The Possessed-nft's gedeeld. Volgens The Verge leidden de links naar neppe nft-mintingsites.

Bij het YouTube-account deden de hackers alsof ze onderdeel waren van investeringsbedrijf Ark Invest. Alle legervideo's werden verwijderd en in plaats daarvan werden er vier livestreams van onder meer Elon Musk getoond. Deze livestreams waren herhalingen van eerdere legitieme livestreams. Bij de video's werden overlays getoond van cryptoscams. Deze video's zijn door tienduizenden mensen bekeken.

Zondagochtend zei het Britse ministerie van Defensie dat de accounts weer in handen zijn van het Britse leger. Nu volgt een onderzoek naar het voorval. Het leger biedt zijn excuses aan voor de 'tijdelijke onderbreking'. Wie er achter de aanval zit, is niet bekend.

Het YouTube-account van het Britse leger na de hack.

Door Hayte Hugo

Redacteur

04-07-2022 • 09:33

21 Linkedin

Submitter: Kalief

Reacties (21)

Wijzig sortering
Hoe werkt dat ondertussen met dit soort publieke accounts? Ik zou denken dat YouTube en Twitter gewoon faciliteiten hebben om individuele medewerkers, met aparte logins, toegang te geven tot deze accounts (role based access control). Dan zou je ook redelijk makkelijk 2FA kunnen afdwingen. Het klinkt vaak alsof deze gehackte accounts gewoon inloggen met username + password.

Edit:

Het lijkt te kunnen voor Twitter (maar ik kan het alleen vinden voor advertenties...);
https://business.twitter....multi-user-login-faq.html

En ook voor YouTube;
https://support.google.com/youtube/answer/9481328?hl=en

Tsja. Dan ligt het balletje bij de diensten om dit gewoon af te dwingen.

[Reactie gewijzigd door MiesvanderLippe op 4 juli 2022 10:06]

Ze hebben inderdaad geen role based access control. Echt heel raar. Het is dus, voor zover ik weet, onmogelijk om meerdere personen met eigen accounts toegang te geven tot 1 twitteraccount.

Heb hier laatst wel een workaround voor bedacht. Een twitteraccount gebruiken wij zakelijk en daar heb ik nu toch MFA ingeschakeld. Vervolgens een screenshot gemaakt van de QR-code. Als iemand toegang nodig heeft tot Twitter, kan die persoon de screenshot scannen met de Authenticator-app. Is niet de meest elegante oplossing, maar het werkt wel prima. Iedereen genereert dus dezelfde OTP doordat dezelfde code is gescand.
sOid schreef:
Heb hier laatst wel een workaround voor bedacht. Een twitteraccount gebruiken wij zakelijk en daar heb ik nu toch MFA ingeschakeld. Vervolgens een screenshot gemaakt van de QR-code. Als iemand toegang nodig heeft tot Twitter, kan die persoon de screenshot scannen met de Authenticator-app. Is niet de meest elegante oplossing, maar het werkt wel prima. Iedereen genereert dus dezelfde OTP doordat dezelfde code is gescand.
Ik vermoed dat de meeste soorten MFA niet helpen bij de waarschijnlijk gebruikte phishing-aanval (zie mijn eerdere bijdrage).

De reden dat ik dat denk is omdat Bleeping Computer vermeldt dat o.a. een incorrect wachtwoord meteen wordt geweigerd: de phishing-site probeert meteen als jou in te loggen op twitter (is dus een MitM = Man in the Middle).

Als je TOTP MFA (Google Authenticator e.d.) gebruikt op Twitter zou het mij verbazen als de MitM niet ook om die code zou vragen en deze meteen door zou zetten naar Twitter.

Waarna, als zo'n code nogmaals nodig is om jouw Twitter account-instellingen te wijzigen, de MitM site natuurlijk iets kan liegen als "please enter the current Authenticator code to confirm it is you and to unblock your account".

Hoe meer gebruikers kunnen inloggen op hetzelfde account, hoe groter het risico dat iemand in zo'n phishing-aanval trapt.

De MitM site is overigens nog live met een heel stel alternatieve domeinnamen in het op 2 juli uitgegeven (Let's Encrypt) certificaat:
twitter-badge-protect.info twitter-badge.info twitter-bluebadge-firewall.info twitter-bluebadge-securitycheck.info twitter-bluebadge-update.info twitter-fix.info twitter-help.info twitter-helpinfo.com twitter-portal.info twitter-protect.info twitter-safeguard-protection.info twitter-safety-protection.info twitter-security-badge.info twitter-security-protect.info twitter-security-verfication.info twitter-security.info twitter-securitycheck-update.info twitter-securitycheck.info twittermanagement.info
bron.

Zie evt. ook VirusTotal voor detectie door anti-malware oplossingen e.d.

Als gebruikers de domeinnaam van de website, waarop zij vertrouwelijke gegevens invoeren (waaronder e-mailadressen, wachtwoorden en 2FA codes), niet grondig checken of niet weten dat deze niet van de bedoelde organisatie is, helpt weinig.
Mooie samenvatting, waarvoor dank. Uiteindelijk is de mens vaak de zwakste schakel en is bij medewerkers bewustwording een van de belangrijkste beveiligingsmaatregelen. Daar wordt bij ons voortdurend aan gewerkt (al kan dat echt nog beter). Zo gaan we binnenkort weer een phishingcampagne onder medewerkers houden. Ook hebben wij honderden domeinen geregistreerd die op onze echte domeinen lijken.

Het is eigenlijk jammer dat er in bewustwordingcampagnes de afgelopen jaren zo veel is gehamerd op 'het groene slotje in je browser'. Natuurlijk is versleuteld verkeer tussen client en server ontzettend belangrijk, maar dit soort aanvallen zijn veel gevaarlijker.
En hoe zorg je ervoor dat die QR code nooit in handen komt van onbevoegden?
'Nooit' kun je natuurlijk niet garanderen. Maar de screenshot staat opgeslagen op een netwerkshare waar maar een paar mensen bij kunnen. En als kwaadwillenden op ons netwerk kunnen, hebben we veel grotere problemen dan een QR-code van Twitter MFA :+

Ideaal is het zeker niet. Maar het was of dit, of helemaal geen MFA.
Het is wel mogelijk om meerdere gebruikers toegang te geven tot een account via TweetDeck. Hierbij kun je alleen niet MFA forceren.
2FA is niet waterdicht. Criminelen zijn ondertussen bijzonder bedreven in het gebruik van social engineering voor het bemachtigen van de session cookies van de accounts die op dergelijke manier beveiligd zijn.
FTFY: Sommige MFA methoden zijn niet waterdicht. Er zijn verschillende niveaus van veiligheid, zo is bijvoorbeeld SMS nooit veilig en een Yubikey vaak wel. Omdat er altijd een menselijke factor in zit blijft social engineering voor nu ook een probleem. Tevens probeert men sessie cookies te kapen of onderscheppen, iets dat bij sommige minder-goed beveiligde sites een probleem kan zijn.
Volgens mij is dat bij YouTube de standaard 2FA die Google ook gebruikt, maar dat moet je volgens mij wel apart activeren. Ook bij Twitter moet je het zo te zien ook zelf activeren. Misschien vonden ze het wel teveel gedoe en zijn ze, net zoals je aangeeft, gewoon aan het inloggen met username + password...
Je hebt alle faciliteiten om veilig te kunnen werken. Helaas wordt er voor accounts (nog) niets verplicht zoals MFA. Nu is MFA niet heilig (dat heeft de belastingdienst wel laten zien) maar het werpt wel een grote barrière op als mensen het account over willen nemen.

Het probleem dat dit soort accounts hebben is dat er meerdere mensen achter zitten, zoals een persteam. Omdat MFA dan lastig is doet men het maar gewoon niet. Soms heeft men een (slecht beveiligde) 'MFA tool' die ze delen of zoals de belastingdienst, de persoon met MFA klikt gewoon bij ieder inlog verzoek altijd op 'Akkoord'.

Het beste zou zijn dat men individuele accounts rechten geeft op het gedeelde account zoals vrij normaal is, delegated access / gedelegeerde toegang. Ieder gedelegeerd account heeft uiteraard weer verplicht MFA aan staan. Ik weet dat dit bijvoorbeeld bij Facebook kan (ooit zo ingericht) maar geen idee of Youtube / Twitter dit ondersteund.
Inzichtvolle comic van XKCD die hier wel relevant is: https://xkcd.com/932/

Met andere woorden: Het leger is niet gehackt maar alleen hun mediakanaal. Niettemin wel een slecht teken natuurlijk, bij zo'n instantie moeten ze toch wel hun opsec op orde hebben zou je zeggen...

[Reactie gewijzigd door GekkePrutser op 4 juli 2022 09:56]

Pas op voor "Ladder Technology" - En inderdaad, het is niet heel netjes van ze.
Met andere woorden: Het leger is niet gehackt maar alleen hun mediakanaal
Ik zie helemaal niemand die iets anders beweerd, dus die comic is helemaal niet relevant.
Het verschil zit 'm in dat het vaak twee volledig gesplitste afdelingen zijn, de marketing van het leger wordt niet echt in-house door militairen gedaan maar gewoon de administratieve medewerkers van afdeling social media.

Ergens heb je wel gelijk, het is onzin dat ze hun zaken niet beter geregeld hebben, maar aan de andere kant zegt dit dus ook absoluut niks over de procedures bij de kritieke afdelingen
M.b.t. Twitter: afgelopen weekend meldde Bleeping Computer dat verified Twitter gebruikers fake DM's ontvangen met de melding dat hun account zal worden geblokkeerd vanwege content die door een geautomatiseerd systeem als niet acceptabel is gevlagd.

Om de blokkade te voorkomen moeten gebruikers op een tinyurl link klikken die ze doorstuurt naar hxxps://twitter-safeguard-protection[.]info/appeal/ waar ze moeten inloggen met hun Twitter credentials.

Het zou mij niet verbazen als laatstgenoemde MitM-site daarbij ook de meeste soorten 2FA kan afhandelen (bij FIDO2/WebAuthn en de toekomstige PassKeys kan dat niet zonder meer).
Deze video's zijn door tienduizenden mensen bekeken.
Helaas wordt ieder groot Tesla / Musk event begeleid met deze scam livestreams op Youtube. Ik heb ze zelf al meerdere keren langs zien komen op de 'recommended' tab. Youtube heeft überhaupt een mega probleem met spam filtering en ook hun 'reclames' zijn meestal walgelijk. Mijn huidige reclame sleur is: Dubieuze investeer apps, leen sites, geld transfer (wire) sites en goksites (wat gebeurd hier allemaal?)...
Ik kreeg laatst zelfs gewoon een kind wat aan het huilen was en zei dat dood ging aan kanker. Dat was nogal een onderbreking van een kookvideo :/
YouTube is inderdaad niet erg best met het verwijderen van scam-reclame en dit soort livestreams van oplichters.

Ik kreeg pas geleden weer elke keer zo'n reclame met de boodschap "Wij hebben een speciaal systeem ontwikkeld waarmee je gratis geld kunt verdienen!". Ik rapporteer dat soort reclames vaak (daarvoor zit er op YouTube ergens een linkje in kleine lettertjes) maar ik heb geen idee of dat wat uithaalt.

En vorige week een livestream met zogenaamd een live interview met Paul McCartney die de hoofdact was op het Glastonbury Festival. In werkelijkheid was het een opname van een interview van een jaar of drie geleden, en stonden er allerlei links bij naar een website waar zogenaamd bitcoins en Tesla's werden weggegeven.

De AI van YouTube is blijkbaar niet slim genoeg om dit soort oplichterij te detecteren. Je zou toch zeggen dat dat niet al te moeilijk moet zijn voor YouTube: als de reclame gaat over een onderwerp zoals gratis geld of cryptocurrency, check dan extra of het legitiem is. (Desnoods door een mens).
De AI van YouTube is blijkbaar niet slim genoeg om dit soort oplichterij te detecteren. Je zou toch zeggen dat dat niet al te moeilijk moet zijn voor YouTube: als de reclame gaat over een onderwerp zoals gratis geld of cryptocurrency, check dan extra of het legitiem is. (Desnoods door een mens).
Weet je wel niet wat dat kost?

En waarom een mens er op zetten als een algoritme juridisch voldoende is?
En wat denk je dat het kost als beroemde mensen rechtszaken tegen YouTube gaan aanspannen omdat ze meewerken aan scams (zo zijn er al BN'ers geweest die YouTube, Facebook etc. aansprakelijk stelden voor advertenties waarin ze worden misbruikt om crypto's aan te prijzen), en als YouTube op een dag veroordeeld wordt voor het meewerken aan criminaliteit?

En bovendien lijkt het me dat je als YouTube niet een reputatie wilt hebben dat scammers en andere criminelen er vrij spel hebben.

M.a.w. er zouden toch genoeg redenen moeten zijn waarom YouTube wat zou willen doen tegen scams.
Daarom zei ik ook; juridisch voldoende.

Dus net genoeg om rechtszaken te ontlopen.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee