Nachdem Elon Musk Twitter gekauft hat, herrscht im Hauptquartier in San Francisco Chaos. Die Chefetage wurde gefeuert, ebenso wie rund die Hälfte der Belegschaft, und weil dadurch Know-how fehlt und wichtige Abläufe gefährdet sind, will man jetzt Mitarbeiter zurückholen.

Dazu kommen Musks chaotische Tweets, seine Wahlempfehlung für die Republikaner bei den Midterms, mysteriöse Sperren von Promis, die sich über Musk lustig machten, und zu guter Letzt macht Musks Ankündigung, den blauen Haken zu reformieren, die Verwirrung komplett. Diese nutzen nun Cyberkriminelle aus, um die verunsicherte Nutzerschaft von Twitter abzuzocken.

2009 eingeführt, sollte der blaue Haken dazu dienen, die Echtheit von Accounts von Prominenten, Politikern und anderen in der Öffentlichkeit stehenden Personen zu verifizieren. Das sollte es Betrügern schwermachen, sich als US-Präsident, Bundeskanzler oder eben Elon Musk auszugeben.

Doch Letzterer hat angekündigt, das Hakerl als "Echtheitszertifikat" verschwinden zu lassen. Stattdessen soll es in Zukunft zahlenden Premium-Usern vorbehalten sein. Wer acht Dollar bezahlt, soll den Haken bekommen – offenbar ohne Verifizierung. Wer nicht auf das Abo-Modell umsteigt, der verliert den blauen Haken.

Schlingerkurs ruft Cyberkriminelle auf den Plan

Musk hat mit seinem Schlingerkurs jetzt Cyberkriminelle auf den Plan gerufen: In einer Phishing-Kampagne versuchen diese an die Login-Daten der oftmals prominenten und einflussreichen Twitterati zu kommen. Dabei geben sich die Angreifer als Mitarbeiter des Helpdesks des Kurznachrichtendienstes aus. Die Empfängerinnen und Empfänger werden aufgefordert, den eigenen Promi-Status zu bestätigen, um den blauen Haken zu behalten.

Der Button führt zu einem Google Doc und schließlich auf eine gefälschte Login-Seite, mit deren Hilfe die Anmeldedaten der Betrugsopfer abgegriffen werden sollen. Diese Seite enthält einen eingebetteten Frame eines russischen Webhosts namens Beget. Die Journalisten Zack Whittaker von Techcrunch und Kevin Collier von "NBC News" veröffentlichten Screenshots von Phishing-Mails, die sie erhalten hatten.

Die krude Machart der Phishingmails sollte nicht darüber hinwegtäuschen, dass in der Verunsicherung sicher einige Menschen ihre Login-Daten preisgeben, um ihren blauen Haken zu behalten, meinte Collier sinngemäß. Die Absenderadresse, auf gmail.com endend, tat ihr Übriges, um den Betrugsversuch zu enttarnen. Google hat die betrügerische Login-Seite mittlerweile entfernt, ebenso der russische Webhoster Beget. (red, 8.11.2022)