Sagsmappe
Teenager hackte Twitter-Konten von Obama, Musk und Gates
Wie ein 17-Jähriger mit Phishing 130 Prominenten-Accounts kaperte
BEVIS
Sagsdetaljer
Quick Facts
Der spektakulärste Twitter-Hack der Geschichte
Am 15. Juli 2020 übernahm der 17-jährige Graham Ivan Clark aus Florida innerhalb von nur zwei Stunden die Kontrolle über 130 der bekanntesten Twitter-Accounts weltweit. Zwischen 20:00 und 22:00 Uhr UTC posteten die Konten von Bill Gates, Elon Musk, Barack Obama, Joe Biden und zahlreichen weiteren Prominenten identische Nachrichten: Wer Bitcoin an bestimmte Wallet-Adressen sende, bekomme das Doppelte zurück.
Der Phishing-Angriff war erschreckend simpel – und genau deshalb so erfolgreich. Clark und seine beiden Komplizen Mason Sheppard (19) und Nima Fazeli (22) gaben sich als Twitter-Mitarbeiter der IT-Support-Abteilung aus und ergaunerten sich durch geschickte Manipulation die VPN-Zugangsdaten echter Angestellter. Mit diesen Credentials verschafften sie sich Zugang zu internen Twitter-Systemen und konnten von dort aus die hochrangigen Accounts übernehmen.
Die Bitcoin-Falle schlug zu
Die Masche war klassischer Kryptowährungsbetrug: Aus den gehackten Accounts heraus versprachen die Täter, jede Bitcoin-Überweisung zu verdoppeln. Über 320 Personen fielen auf den Betrug herein und überwiesen insgesamt mehr als 117.000 US-Dollar in Bitcoin an die von den Hackern kontrollierten Wallets.
Zeitlinie
1. Januar 2019
SIM-Swap-Angriff auf Investor
Clark stiehlt 164 Bitcoins von Angel-Investor Gregg Bennett durch SIM-Swapping
15. Juli 2020
Twitter-Hack beginnt
Um 20:00 UTC startet die Übernahme von 130 hochrangigen Twitter-Accounts
15. Juli 2020
Bitcoin-Betrug läuft
Über 320 Personen überweisen insgesamt mehr als 117.000 Dollar in Bitcoin
15. Juli 2020
Twitter reagiert
Nach zwei Stunden werden die betrügerischen Tweets gelöscht und Accounts gesichert
31. Juli 2020
Verhaftung von Clark
Graham Ivan Clark wird in Florida festgenommen
1. März 2021
Plea Agreement und Urteil
Clark bekennt sich schuldig und wird zu drei Jahren Haft verurteilt
Twitter reagierte erst mit erheblicher Verzögerung. Bis die Tweets gelöscht und die Accounts gesichert wurden, hatten die Betrüger bereits eine beträchtliche Summe erbeutet. Der Vorfall offenbarte eklatante Sicherheitslücken bei einem der weltweit größten Social-Media-Konzerne – nicht in der technischen Infrastruktur, sondern in der menschlichen Komponente.
Keine Ersttat: SIM-Swapping bereits 2019
Für Graham Ivan Clark war der Twitter-Hack jedoch nicht der erste Ausflug in die Cyberkriminalität. Bereits 2019 hatte er einen sogenannten SIM-Swap-Angriff gegen den Angel-Investor Gregg Bennett durchgeführt und dabei 164 Bitcoins gestohlen.
Bei dieser Methode überredet oder besticht der Täter Mitarbeiter eines Mobilfunkanbieters, die Telefonnummer des Opfers auf eine neue SIM-Karte zu übertragen, die sich in seinem Besitz befindet. Damit erhält der Angreifer Zugriff auf alle SMS-basierten Zwei-Faktor-Authentifizierungen und kann Konten übernehmen, die mit dieser Nummer verknüpft sind.
Verurteilung als Minderjähriger
Clark wurde noch 2020 verhaftet und im März 2021 zu drei Jahren Haft verurteilt, nachdem er sich im Rahmen eines Plea Agreements – einer Verständigung mit der Staatsanwaltschaft gegen Geständnis – schuldig bekannt hatte. Die beschlagnahmten Kryptowährungen sollten zur Entschädigung der Opfer verwendet werden.
Da Clark zum Tatzeitpunkt minderjährig war, wurde er nach Jugendstrafrecht verurteilt. Ihm drohte allerdings die Überstellung in ein Erwachsenengefängnis, falls er gegen seine Bewährungsauflagen verstoßen würde – ein starker Anreiz, sich nach der Haftentlassung an die Regeln zu halten.
Social Engineering als größte Schwachstelle
Der Twitter-Hack von 2020 wurde in der IT-Sicherheitsbranche zum Paradebeispiel dafür, wie verwundbar selbst große Technologiekonzerne durch Social Engineering sind. Die Angreifer mussten keine komplexen technischen Sicherheitssysteme überwinden – sie mussten nur Menschen davon überzeugen, dass sie legitime Kollegen seien.
Twitter verschärfte nach dem Vorfall seine internen Sicherheitsprotokollen erheblich und führte zusätzliche Schutzmaßnahmen für hochrangige Accounts ein. Der Fall wird heute in Cybersecurity-Schulungen weltweit als Lehrstück verwendet: Die stärkste Firewall nützt nichts, wenn Mitarbeiter ihre Zugangsdaten an vermeintliche Kollegen weitergeben.
Lehren aus dem Hack
Der Fall Graham Ivan Clark zeigt eindrücklich, dass Cyberkriminalität längst nicht mehr nur von hochspezialisierten Hackern mit jahrelanger Erfahrung ausgeübt wird. Ein Teenager mit rudimentären Kenntnissen in Social Engineering konnte binnen Stunden einen der größten Social-Media-Hacks der Geschichte durchführen – nicht durch technische Brillanz, sondern durch psychologische Manipulation.