Twitter verschickt keine Botschaften: Phisher auf Twitter
Der populäre Kurznachrichtendienst Twitter ist erstmals Ziel eines Online-Gauners geworden, der Twitter-Nutzer auffordert, einem Link zu folgen. Heißer Tipp: Nicht folgen!
Bislang blieben die Nutzer des zunehmend populärer werdenden Kommunikationsdienstes Twitter von Online-Attacken weitgehend verschont. Die inzwischen mehr als drei Millionen Mitglieder, die 140 Zeichen kurze Botschaften untereinander austauschen, hatten es höchstens einmal mit unerwünschten Werbebotschaften zu tun. Nun ist zum ersten Mal versucht worden, die Plattform für eine Phishing-Gaunerei zu missbrauchen. Wie Twitter in seinem offiziellen Blog warnt, versucht derzeit ein offenbar in China angesiedelter Nutzer, Twitterfreunde zur Abgabe ihrer Zugangsdaten zu verlocken, in dem er sie auf eine der Twitter-Homepage sehr ähnliche Seite zieht. Entsprechende Botschaften werden stets mit einem "hey! check out this funny blog about you..." eingeleitet, auf das dann der Link zur falschen Seite folgt.
Eigentlich ist erstaunlich, wie lange Twitter derlei Plagen erspart blieben. Das Angebot ist für Angriffe wie diesen erstaunlich ungeschützt. Erstens eignet sich die Plattform als Kommunikationsmittel hervorragend, um schnell neue Opfer anzulocken, denen man dann beispielsweise präparierte Links auf gefährliche Seiten zustellen kann. Zweitens gehen Nutzer des Kurznachrichtendienstes erstaunlich flapsig mit ihren Zugangsdaten um: Wer Zusatzanwendungen für Twitter verwenden möchte, von denen es inzwischen zahllose unterschiedliche vom Online-Erinnerungsdienst bis zum virtuellen Anrufbeantworter gibt, teilt den Betreiben stets Nutzername und Passwort mit. Ist der Anbieter einer solchen Zusatzanwendung jedoch "böse" - es gibt keine Stelle, die das offiziell prüft -, kann er die Daten nutzen, um beispielsweise die erwähnten Links auf gefährliche Seiten zu verbreiten - und zwar im guten Namen des Nutzers, weil mit Nutzername und Passwort unter dessen Account Nachrichten eingestellt werden können. Twitter ist sich des Problems seit längerem bewusst, bietet aber bis dato keine technische Lösung an, die die Übergabe der Zugangsdaten vermeiden würde.
Dass Nutzer von Web 2.0-Diensten grundsätzlich gefährlich leben, was den Schutz ihrer Privatsphäre anbetrifft, zeigt auch eine Untersuchung des Fraunhofer-Instituts für sichere Informationstechnik in Darmstadt zum Thema, die im September erschien. Geprüft wurden private soziale Netzwerke wie Facebook, StudiVZ, MySpace, wer-kennt-wen und Lokalisten, sowie die geschäftlichen Anbieter Xing und Linkedin. "Von den getesteten Plattformen konnte keine vollständig überzeugen", sagte Studienautor Andreas Poller beim Erscheinen der Untersuchung. "Von der Nutzung mancher Dienstfunktionen ist sogar abzuraten, weil die Zugriffskontrollen teilweise einfach nicht funktionieren oder ganz fehlen." So sei es mit Hilfe spezieller Suchmaschinen beispielsweise möglich, in den Besitz von Bildern, die der Nutzer eigentlich als geschützt markiert hatte zu gelangen. Auch die politische Orientierung oder der Familienstatus ließ sich trotz Sperrung der Daten bei einigen Plattformen ermitteln. Gästebuch und Foreneinträge blieben auch nach Löschung des Accounts bestehen. "Das kann für den Benutzer mitunter sehr peinlich werden", sagte Poller.
Experten rechnen in den kommenden Monaten mit einer weiteren Verschärfung der Angriffe auf soziale Netzwerke und andere Web 2.0-Plattformen. Würmer für Facebook und MySpace existieren schon in mehrfacher Ausführung. Ein neuer Gefahrenbereich besteht in der Verwendung so genannter APIs, mit denen unterschiedliche Plattformen Daten unkompliziert untereinander austauschen können. Darüber ist es einem Angreifer potenziell möglich, nicht nur die Informationen auf einem Social Networking-Angebot abzugreifen, sondern gleich auch noch Zugriff auf diverse andere Angebote zu erlangen, ist ein Zugang einmal in der Hand eines Ganoven. Noch dienen die sozialen Netzwerke vor allem als Einstieg, um auf den PC eines Nutzers zu gelangen, von wo aus dann etwa Passwörter für Bankzugänge mitgelauscht werden können. Je mehr persönliche Daten die Web 2.0-Dienste enthalten, desto interessanter werden jedoch auch ihre eigenen Infobestände - etwa für die zunehmende Plage des Identitätsdiebstahls.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
Starten Sie jetzt eine spannende Diskussion!