Twitter verschickt keine Botschaften: Phisher auf Twitter

Der populäre Kurznachrichtendienst Twitter ist erstmals Ziel eines Online-Gauners geworden, der Twitter-Nutzer auffordert, einem Link zu folgen. Heißer Tipp: Nicht folgen!

Der Web 2.0-Kommunikationsdienst Twitter verschickt keine Links. Mails mit den Worten "hey! check out this funny blog about you..." also nicht folgen! Bild: screenshot twitter

Bislang blieben die Nutzer des zunehmend populärer werdenden Kommunikationsdienstes Twitter von Online-Attacken weitgehend verschont. Die inzwischen mehr als drei Millionen Mitglieder, die 140 Zeichen kurze Botschaften untereinander austauschen, hatten es höchstens einmal mit unerwünschten Werbebotschaften zu tun. Nun ist zum ersten Mal versucht worden, die Plattform für eine Phishing-Gaunerei zu missbrauchen. Wie Twitter in seinem offiziellen Blog warnt, versucht derzeit ein offenbar in China angesiedelter Nutzer, Twitterfreunde zur Abgabe ihrer Zugangsdaten zu verlocken, in dem er sie auf eine der Twitter-Homepage sehr ähnliche Seite zieht. Entsprechende Botschaften werden stets mit einem "hey! check out this funny blog about you..." eingeleitet, auf das dann der Link zur falschen Seite folgt.

Eigentlich ist erstaunlich, wie lange Twitter derlei Plagen erspart blieben. Das Angebot ist für Angriffe wie diesen erstaunlich ungeschützt. Erstens eignet sich die Plattform als Kommunikationsmittel hervorragend, um schnell neue Opfer anzulocken, denen man dann beispielsweise präparierte Links auf gefährliche Seiten zustellen kann. Zweitens gehen Nutzer des Kurznachrichtendienstes erstaunlich flapsig mit ihren Zugangsdaten um: Wer Zusatzanwendungen für Twitter verwenden möchte, von denen es inzwischen zahllose unterschiedliche vom Online-Erinnerungsdienst bis zum virtuellen Anrufbeantworter gibt, teilt den Betreiben stets Nutzername und Passwort mit. Ist der Anbieter einer solchen Zusatzanwendung jedoch "böse" - es gibt keine Stelle, die das offiziell prüft -, kann er die Daten nutzen, um beispielsweise die erwähnten Links auf gefährliche Seiten zu verbreiten - und zwar im guten Namen des Nutzers, weil mit Nutzername und Passwort unter dessen Account Nachrichten eingestellt werden können. Twitter ist sich des Problems seit längerem bewusst, bietet aber bis dato keine technische Lösung an, die die Übergabe der Zugangsdaten vermeiden würde.

Dass Nutzer von Web 2.0-Diensten grundsätzlich gefährlich leben, was den Schutz ihrer Privatsphäre anbetrifft, zeigt auch eine Untersuchung des Fraunhofer-Instituts für sichere Informationstechnik in Darmstadt zum Thema, die im September erschien. Geprüft wurden private soziale Netzwerke wie Facebook, StudiVZ, MySpace, wer-kennt-wen und Lokalisten, sowie die geschäftlichen Anbieter Xing und Linkedin. "Von den getesteten Plattformen konnte keine vollständig überzeugen", sagte Studienautor Andreas Poller beim Erscheinen der Untersuchung. "Von der Nutzung mancher Dienstfunktionen ist sogar abzuraten, weil die Zugriffskontrollen teilweise einfach nicht funktionieren oder ganz fehlen." So sei es mit Hilfe spezieller Suchmaschinen beispielsweise möglich, in den Besitz von Bildern, die der Nutzer eigentlich als geschützt markiert hatte zu gelangen. Auch die politische Orientierung oder der Familienstatus ließ sich trotz Sperrung der Daten bei einigen Plattformen ermitteln. Gästebuch und Foreneinträge blieben auch nach Löschung des Accounts bestehen. "Das kann für den Benutzer mitunter sehr peinlich werden", sagte Poller.

Experten rechnen in den kommenden Monaten mit einer weiteren Verschärfung der Angriffe auf soziale Netzwerke und andere Web 2.0-Plattformen. Würmer für Facebook und MySpace existieren schon in mehrfacher Ausführung. Ein neuer Gefahrenbereich besteht in der Verwendung so genannter APIs, mit denen unterschiedliche Plattformen Daten unkompliziert untereinander austauschen können. Darüber ist es einem Angreifer potenziell möglich, nicht nur die Informationen auf einem Social Networking-Angebot abzugreifen, sondern gleich auch noch Zugriff auf diverse andere Angebote zu erlangen, ist ein Zugang einmal in der Hand eines Ganoven. Noch dienen die sozialen Netzwerke vor allem als Einstieg, um auf den PC eines Nutzers zu gelangen, von wo aus dann etwa Passwörter für Bankzugänge mitgelauscht werden können. Je mehr persönliche Daten die Web 2.0-Dienste enthalten, desto interessanter werden jedoch auch ihre eigenen Infobestände - etwa für die zunehmende Plage des Identitätsdiebstahls.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de