Een Twittergebruiker is het slachtoffer van afpersing geworden wegens een bijzondere accountnaam die 50.000 dollar waard zou zijn. Naoki Hiroshima was de eigenaar van het Twitteraccount @N, dat hij in 2007 registreerde. Doordat de naam uit slechts één letter bestaat een geliefd object.

Regelmatig kreeg Hiroshima, die ontwikkelaar bij Echofon is, met pogingen te maken van mensen die zijn accountnaam wilden stelen. Ook werd hem het bedrag van 50.000 dollar geboden, wat hij afwees. Op 20 januari werd hij echter het doelwit van een aanval waardoor hij uiteindelijk afstand van zijn Twitteraccount moest doen.

De aanval begon met een sms-bericht van PayPal met een eenmalige inlogcode. Hiroshima dacht dat iemand zijn PayPal-account probeerde te stelen en negeerde het bericht. Later op de dag checkte hij via Google Apps zijn e-mail, dat aan zijn persoonlijke domeinnaam was gekoppeld. Hij had een e-mailbericht van GoDaddy ontvangen, de partij waar hij de domeinnaam had geregistreerd. Daarin stond dat de gegevens van zijn GoDaddy-account waren aangepast.

Hiroshima probeerde op zijn GoDaddy-account in te loggen, maar dat werkte niet meer. Hij belde GoDaddy om de situatie uit te leggen. Een medewerker vroeg hem om de laatste zes cijfers van zijn creditcard, maar dat bood geen oplossing. De creditcardgegevens waren namelijk al gewijzigd door de aanvallers, alsmede alle andere gegevens. Daardoor kon Hiroshima niet het juiste antwoord geven.

De werknemer gaf Hiroshima vervolgens het advies om een formulier in te vullen zodat hij kon bewijzen de echte eigenaar te zijn, maar dit leverde uiteindelijk niets op, omdat hij niet als de huidige eigenaar geregistreerd stond.

E-mail

Doordat de aanvallers het GoDaddy-account hadden overgenomen, hadden ze ook toegang tot de domeinnaam en het e-mailaccount van Hiroshima gekregen. De ontwikkelaar werd via Facebook door een onbekende benaderd, die hem vroeg om het e-mailadres van zijn Twitteraccount te wijzigen. Hiroshima had toen al door dat de aanvallers het op zijn Twitteraccount hadden voorzien. Toch besloot hij het e-mailadres te wijzigen.

De aanvallers probeerden wel het Twitter-wachtwoord te wijzigen, maar kregen de resetmails niet binnen, omdat de aanpassingen aan de domeinnaam nog niet waren doorgevoerd. De aanvallers namen vervolgens contact op met Twitter, waarin ze lieten weten de resetmails niet te ontvangen. Twitter vroeg om meer gegevens, waarop de aanvallers deze poging opgaven.

Facebook

Inmiddels was ook het Facebookaccount van Hiroshima gekaapt door de aanvallers, die het als ruilmiddel voor zijn Twitteraccount wilden gebruiken. Uiteindelijk volgde ook een e-mail waarin de aanvallers lieten weten dat ze de Twitternaam voor het GoDaddy-account wilden ruilen. Daarmee zou Hiroshima weer toegang tot zijn Facebookaccount en domeinnaam krijgen.

Hiroshima kende iemand bij Twitter en vroeg wat de kansen waren om een gekaapt Twitteraccount terug te krijgen. Iets wat eerder het geval was bij IT-journalist Mat Honan. Vervolgens maakte hij de beslissing om de ruil met de aanvallers aan te gaan en zijn andere accounts terug te krijgen.

Social engineering

Nadat ze de controle over het felbegeerde Twitteraccount hadden verkregen lieten de aanvallers weten hoe ze de aanval hadden uitgevoerd. Het begon met een telefoontje naar PayPal, waar social engineering werd gebruikt om de laatste vier cijfers van de creditcard van Hiroshima te bemachtigen.

Vervolgens werd GoDaddy gebeld. De aanvaller verklaarde dat hij "zijn" creditcard had verloren, maar nog wel de vier laatste cijfers wist. Er waren echter zes cijfers vereist om toegang te krijgen en het wachtwoord te wijzigen. De medewerker van GoDaddy gaf de aanvaller meerdere pogingen om de ontbrekende twee getallen te raden, wat de aanvaller ook in het eerste gesprek lukte.

Leermoment

Terugblikkend stelt Hiroshima dat hij beter een Gmail-adres voor zijn Facebookaccount had kunnen gebruiken. Daarnaast adviseert hij om niet met een Google Apps e-mailadres op meerdere websites in te loggen. "Gebruik een Gmail-adres voor je logins." Verder raadt hij aan om de TTL (Time To Live) van het MX-record van de domeinnaam langer in te stellen. Zelf gebruikte hij een TTL van een uur.

Als het bijvoorbeeld een week was geweest, had hij meer kans gehad om de resetmails te ontvangen die via zijn gekaapte domeinnaam waren aangevraagd. Ook is het gebruik van twee-factor authenticatie volgens Hiroshima een must, hoewel dat niet altijd helpt, zoals in zijn geval blijkt. Als laatste adviseert hij om bedrijven als PayPal en Godaddy niet toe te staan dat ze creditcardgegevens opslaan.

Inmiddels heeft Hiroshima bij deze bedrijven zijn creditcardgegevens verwijderd. Ook zal hij stoppen met het gebruik van beide bedrijven. Het verhaal van de ontwikkelaar werd uiteindelijk door The Next Web overgenomen, dat ook PayPal, Twitter en GoDaddy benaderde. Alle drie de bedrijven lieten weten de zaak nog te onderzoeken.