Datenklau 05.01.2009 Phishing-Alarm bei Twitter
Von news.de-Redakteurin Anja Guhlan
Die populäre Kommunikationsanwendung Twitter ist jetzt erstmals auch von Phishing-Attacken betroffen. Ein Online-Gauner versucht mittels einer gefälschten Twitter-Seite an die Zugangsdaten der Nutzer heranzukommen.
Twitter warnt auf dem offiziellen Blog vor direkten Nachrichten oder Email-Benachrichtigungen, die einen gefälschten Link zum eigenen Dienst enthalten. Ein Klick führt dann auf eine täuschend echt imitierte Webseite. Auf dieser wird versucht, den Nutzer zur Abgabe seiner Zugangsdaten zu bringen. Die Fälschung erkennt man lediglich an der Adresse im Browser. Im aktuellen Phishing-Fall ist die Wortgruppe «access-logins» zusätzlich in der Adresszeile enthalten. «Bei anderen Phishing-Fällen können jedoch ganz andere Methoden angewandt werden», erklärt der Sicherheitsexperte Daniel Bachfeld vom c´t Magazin.
Bislang blieben die Nutzer des Microblogging-Dienstes Twitter vom Phishing, dem «Fischen von Passwörtern», weitgehend verschont. Doch nun müssen sich die mehr als drei Millionen Mitglieder in Acht nehmen. «Twitter als Kommunikationsplattform und auch andere Plattformen wie MySpace oder Facebook eigenen sich gut, um schnell neue Opfer anzulocken und auf präparierte Seiten zu lenken. Denn bisher sind Phishing-Attacken auf diesen Plattformen noch recht unbekannt bei deren Nutzern. Diese verbinden eingehende Links noch nicht mit Phishing-Attacken», sagt Bachfeld.
Phishing bei Online-Banking-Portalen ist finanziell lukrativ für den Dieb, doch wozu kann der Online-Gauner die erspähten Zugangsdaten von Twitter nutzen? Opfer die ihre Zugangsdaten auf der präparierten Seite eintragen, geben gleichzeitig alle regulären mitunter für Twitterer nicht sichtbaren Daten wie beispielsweise Realname, Handynummer, Email-Adresse oder Wohnort preis. Was der Phisher jedoch mit diesen Daten anstellt, ist ebenso fraglich.
«Eine weitere Variante ist, dass der Nutzer für mehrere Dienste diesselben Zugangsdaten benutzt, in diesem Fall könnte der Phisher auch auf alle anderen Dienste zugreifen», erklärt Andreas Poller vom Fraunhofer Institut für Sichere Informationstechnologie . «Twitter-Phishing könnte auch dazu dienen, um lediglich Aufmerksamkeit zu erzielen. Daten oder Informationen werden gehackt, um sie dann zu veröffentlichen und somit in das Licht der Öffentlichkeit zu rücken», erklärt er weiter.
Eine weitere Variante ist die Rufschädigung. Wenn der Gauner die Twitter-Zugänge besitzt, könnte er allen möglichen Unsinn auf den Account eines Twitterers verfassen. «Der Twitterer könnte durch die gefälschten Aussagen in Misskredit kommen», sagt Poller. Daniel Bachfeld von der c't fügt hinzu, dass durch den Zugang auch vermehrt Spam übertragen werden kann. «Durch Portale wie Twitter oder MySpace erkennt der Gauner sogar Vorlieben oder Interessen der Nutzer und kann den Spam noch gezielter zuschicken», erklärt Bachfeld.
Twitter hat das Problem des Phishings zwar im Visier, bietet aber bis dato keine technischen Lösungen wie Spamblocker oder Ähnliches an. Der Sicherheitsexperte Daniel Bachfeld nimmt Twitter in Schutz und meint: «Beim Phishing sind solche Portale eigentlich machtlos.» Andreas Poller gibt den Tipp, das eigene Netzwerk nach Anomalien zu durchsuchen und bei Phishing-Fällen stets Sicherheitswarnungen herauszugeben.
In den kommenden Monaten rechnen die Experten mit weiteren Angriffen auf Microblogging-Plattformen, soziale Netzwerke und andere Web 2.0-Anwendungen. Einen hundertprozentigen Schutz vor Phishing gibt es zwar nicht, jedoch gibt es einige Tipps wie man einen Phishing-Betrug vermeiden kann.
Lesen Sie auf Seite 2, wie Sie Phishing-Betrug vermeiden können
Die folgenden Tipps können einen Phishing-Betrug vermeiden. Prinzipiell gilt es aber, stets die Augen im Netz offen zu halten. Grundsätzlich sollte sich auch jeder Nutzer überlegen, ob er sensible Daten bei Internetdiensten hinterlässt.
Nicht Klicken – Klicken Sie nicht auf verdächtige E-Mail-Links, bei denen Sie Ihre persönlichen Daten eingeben sollen.
Pop-Up-Fenster – Geben Sie nie Ihre persönlichen Daten in einem Pop-Up-Fenster ein. Installieren Sie Pop-Up-BlockerErweiterungen des Webbrowsers, die das Öffnen von PopUps unterbinden sollen. in ihrem Browser um Phishing-Angriffe zu verhindern.
Email-Anhänge – Öffnen Sie nur E-Mail-Anhänge, die sie auch kennen oder wenn Sie diese erwarten.
Schutz-Software – Schützen Sie Ihren Computer stets mit einer Firewall sowie einer Anti-Virus- und Anti-Spywaresoftware, nutzen Sie Spamfilter-Funktionen ihres E-Mail-Anbieters. Achten Sie bei den Programmen auf automatische Updates und aktuelle kostenlose Aktualisierungen der Hersteller, welche neu entdeckte Probleme beheben.
Aktueller Browser – Viele Attacken werden erst möglich, weil Browser bestimmte Fälschungen zulassen. Achten Sie regelmäßig darauf, die aktuellste Browserversion zu installieren.
Überprüfen der Internetadresse – Wer ganz sicher gehen will, sollte immer die Zieladresse im Browser (URL) überprüfen. Präparierte Seiten enthalten oft Schreibfehler oder zusätzliche Buchstaben oder Wörter im Adressfeld.
