Algemeen – 16 jul. 2020

Twitter hack: het gevaar van centralisatie

Marlies van der Schaar

Twitter is gehackt. In de loop van gisteravond verkregen oplichters toegang tot diverse twitteraccounts van bekendheden en plaatsten namens hen berichten die opriepen bitcoins op te sturen. In ruil daarvoor zou men tweemaal zoveel terug ontvangen, maar daar was niets van waar. Enkele honderden mensen werden slachtoffer en de oplichters wisten meer dan 13 BTC buit te maken. Volgens Twitter waren de oplichters de interne systemen binnengedrongen via de accounts van medewerkers.

obamabitcointwitterhacksmall

Boven: Een voorbeeld van de oplichting op Twitter

Gisteravond gebeurde er iets vreemds: de twitteraccounts van Joe Biden, Barack Obama, Bill Gates, Elon Musk, Jeff Bezos, Kanye West en vele anderen riepen vrijwel gelijktijdig op om een hoeveelheid bitcoins op te sturen naar een bitcoinadres.

In ruil daarvoor zouden mensen een dubbele hoeveelheid terugontvangen; een ogenschijnlijk gulle gift in deze barre COVID-19 crisistijd. Ook de accounts van diverse bitcoinexchanges en prominenten uit de bitcoincommunity leken mee te doen.

Oplichting

Het was natuurlijk oplichting en mensen die bitcoins opstuurden waren hun geld kwijt. Het is een bekende vorm van oplichting die al langer voor komt; een soort moderne versie van de Nigeriaanse prins die zogenaamd wanhopig op zoek is naar iemand om zijn miljoenen aan te schenken.

De meeste mensen doorzien dit soort oplichting en trappen er niet in, maar een klein deel wordt - door goedgelovigheid of kennisgebrek - genadeloos tot slachtoffer gemaakt.

Het is echter voor het eerst dat de oplichting op deze schaal voor komt en dat de berichten via officiële accounts werden geplaatst. Meestal passen oplichters trucs toe om zich voor te doen als bekendheden, bijvoorbeeld met gelijknamige accounts die het origineel zo goed mogelijk imiteren. Dit keer werden de berichten echter geplaatst via de officiële en geverifieerde twitteraccounts van de desbetreffende bekendheden.

Volgens Twitter was het een 'social engineering hack' gericht op Twitter medewerkers met toegang tot de interne systemen. Via deze weg zouden de oplichters toegang hebben verkregen tot de diverse twitteraccounts. Eenmaal 'binnen' werden de rechtmatige eigenaren buitengesloten en hadden de oplichters vrij spel.

Twitter is inmiddels in actie getreden en de frauduleuze berichten zijn verwijderd. Sommige accounts zijn geblokkeerd en Twitter gaf aan dat zij de toegang ertoe herstellen wanneer ze ervan verzekerd zijn dat ze dat veilig kunnen. Intern zeggen ze maatregelen te hebben getroffen om de toegang tot de systemen te beperken.

Centraal versus decentraal

Het voorval toont opnieuw de nadelen en risico's van traditionele en gecentraliseerde modellen. In één klap verkregen hackers toegang tot de accounts, een stukje online identiteit, van duizenden gebruikers omdat het beheer centraal ingericht is.

De centrale partij, in dit geval Twitter, is een zwakke schakel en het winstpotentieel voor hackers is erg groot: één keer succes verschaft een kwaadwillende toegang tot vrijwel alles.

Dat is heel anders dan het gedecentraliseerde model waarop Bitcoin is gebaseerd. Bij Bitcoin is er geen centraal beheer en is iedere gebruiker zelf verantwoordelijk voor zijn of haar bitcoinwallet(s). Er is dan ook nergens een medewerker met universele toegang die gehackt kan worden, noch een centrale autoriteit die macht of controle heeft over het netwerk. Bij Bitcoin zijn gebruikers zelf de baas over hun eigen wallet.

Het gebrek aan een centrale partij maakt het voor hackers een stuk lastiger: ze zullen immers iedere gebruiker individueel moeten zien te hacken. En dat is natuurlijk veel minder winstgevend, meer werk en daardoor veel minder interessant.

Bitcoin & oplichting

Bitcoin is populair bij oplichters omdat het als geld een aantal unieke eigenschappen heeft. Bitcoin werkt namelijk niet op basis van identiteit en dat maakt het voor opsporingsdiensten moeilijk om de daders te traceren. Bovendien zijn bitcointransacties onomkeerbaar. Wanneer een kwaadwillende de buit eenmaal binnen heeft is er dus eigenlijk niets meer aan te doen.

In het verleden zagen we dan ook diverse vormen van oplichting met behulp van bitcoin voorbij komen. Zo zijn er bijvoorbeeld frauduleuze websites die nep investeringen of fictief rendement aanbieden tegen betaling in bitcoin. Daarnaast is ook de identiteit van veel bekende Nederlanders in de loop der tijd misbruikt bij nep advertenties die beweerden over speciale bitcoinsoftware te beschikken waarmee men rijk kan worden.

Wees alert

Bitcoin is geld en criminelen weten dat allang. Als vanouds doen zij er dus van alles aan om mensen hun geld bitcoins afhandig te maken.

Het kan daarom niet vaak genoeg gezegd worden: Geloof geen mensen die gouden bergen beloven. Stuur geen geld naar mensen die beloven meer geld terug te sturen. Doe dat ook niet wanneer ze een mooie website hebben of een mooi pak. Er bestaat geen software of methode die gegarandeerd geld oplevert zonder risico en blijf ver weg van iedereen die dat wel belooft.

Gebruik ook bij voorkeur geen exchange, online wallet of andere website voor het beheren van je bitcoins. Net als Twitter zijn ook zij regelmatig doelwit van hackers. En, anders dan met een social media account riskeer je ermee al je bitcoins te verliezen.

De enige échte manier om bitcoin te gebruiken is vanuit je eigen bitcoinwallet. Alleen dan ben je van niemand afhankelijk en hoef je op niemand te vertrouwen.

We schreven eerder al eens uitgebreid over de diverse vormen van oplichting waarbij bitcoin als betalingsmiddel wordt gebruikt. Twijfel je of iets oplichting betreft of heb je met oplichting of andere cybermisdaad te maken gehad? Lees dan ook over de mogelijkheid tot online aangifte.