Kjent utvikler ble hacket etter phishing-angrep: – Flaut å innrømme

Den profilerte utvikleren Christian Heilmann har mistet tilgang til X-kontoen sin etter å ha gått rett i en phishing-felle.

Bilde fra et av Heilmanns kurs på Skillshare.com
Jørgen Jacobsen
Jørgen Jacobsen utvikler, kode24
Publisert

Christian Heilman, kjent fra blant annet arbeid i Mozilla Foundation, legger ut historien som en advarsel til andre teknologer på bloggen sin

Etter over 20 år på Twitter/X ble kontoen hans plutselig overtatt av angripere.

– Som en som hjelper andre med sikkerhet, er dette ganske pinlig, skriver Heilmann i innlegget.

Startet med noe så enkelt som dårlig tid

Ifølge Heilmann skjedde alt på slutten av arbeidsuka.

Han holdt på å avslutte jobb, skulle reise bort for helga, og samtidig fikse passord og innlogging på flere enheter. Midt i dette dukket en e-post opp fra det som så ut som X.

Mailen hevdet at et innlegg var rapportert for mulig brudd på opphavsrett, og ba ham sende inn en klage.

Han ville bare få saken unna raskt.

Det ble første store feil, skriver han. Nemlig å håndtere sikkerhet mens man har dårlig tid.

Phishing-mailen så overraskende ekte ut

E-posten inneholdt riktig brukernavn, profilinformasjon og en troverdig forklaring på problemet. Heilmann reagerte først med irritasjon – ikke mistanke, skriver han.

Han klikket på knappen Submit appeal uten å kontrollere, hvem som faktisk sendte e-posten, hvilken URL lenken gikk til, og om domenet tilhørte X.

Lenken pekte i realiteten til et eksternt nettsted skjult bak en AMP-redirect.

Nettstedet lurte ham videre

Siden som åpnet seg viste en tilsynelatende legitim copyright-sak – komplett med profilbilde og kontoinformasjon. Deretter kom innloggingssiden.

Her dukket et tydelig faresignal opp. Passord-autofyll fungerte ikke, Heilman skriver at her burde han gitt seg.

I stedet antok Heilmann at siden bare var dårlig laget – og skrev inn passordet manuelt. Sekunder senere begynte varsler å komme.

Kontoen kapret på minutter

Han mottok deretter melding om innlogging fra en ukjent enhet i Istanbul, endring av e-postadresse og deretter at kontoen var låst.

Da han forsøkte å endre passordet, var angriperne allerede inne.

Enda verre: Kontoen krevde autentiseringsapp for gjenoppretting – noe han aldri hadde aktivert. Resultatet var full utestengelse fra egen konto.

– Angriperne har full kontroll

Heilmann sier han nå er i en gjenopprettingsprosess hos X, med minst sju dagers ventetid før neste forsøk.

I mellomtiden kan angriperne bruke kontoen fritt.

– Jeg skjønner at jeg gjorde en dum feil, men jeg håper support kan hjelpe meg tilbake, skriver han.

De fem feilene han mener alle bør lære av

Heilmann oppsummerer selv hva som gikk galt i blogginlegget:

  1. Gjorde sikkerhetsoppgaver i stress

  2. Stolte på en e-post som virket legitim og hastet

  3. Sjekket ikke avsender eller URL

  4. Overså at autofyll ikke fungerte

  5. Sikret ikke kontoen raskt nok under angrepet

artikkel
Powered by Labrador CMS