MalwareTwitter-Spam kapert die Direct Messages

Ein Spam-Angriff bei Twitter schleicht sich in Direct Messages ein und erschreckt die Nutzer. Manche löschen aus Angst gar ihren Account, wie der Chef der Piratenpartei. von 

Spam – Direct Message vom Account des Bundesvorsitzenden der Piratenpartei Bernd Schlömer

Spam – Direct Message vom Account des Bundesvorsitzenden der Piratenpartei Bernd Schlömer  |  CC-BY Screenshot Robert Marquardt

Twitter hat schon immer ein Problem mit Spam. Extra zu diesem Zweck angelegte Accounts versuchen, andere Twitterer auf Websites zu locken, damit sie dort Werbung anklicken, Pornos anschauen oder ihre Bankdaten und Passworte preisgeben. Normalerweise beschränken sich solche Angriffe auf Tweets, auf die öffentlich einsehbaren Nachrichten also. Doch inzwischen haben Kriminelle Wege gefunden, das vertraulichste System des Netzwerkes zu missbrauchen, die sogenannten Direct Messages.

Neben den öffentlichen Nachrichten gibt es in Twitter eine Art Mail-System, über das privatere Botschaften verschickt werden können, Direct Message genannt, gern abgekürzt als DM. Zwei Twitterer können sich eine solche DM senden, wenn sie sich gegenseitig "folgen", also wenn jeder den Nachrichtenstrom des anderen abonniert hat. Außerdem kann man solche DM an seine Follower schicken, auch wenn man diesen nicht folgt. Sie können zwar nicht auf dem gleichen Weg antworten, aber sie können die DM des Absenders immerhin lesen.

Anzeige

So geschieht es, dass man von Menschen, deren Accounts man kennt, Botschaften wie diese erhält: "Did you see this pic of you? lol..." (Hast du das Bild von dir gesehen? Lustig...) Wer sich die DM anschauen will und auf den darin enthaltenen Link klickt, infiziert sich und wird selbst zum Opfer und Spamversender. Denn anschließend verschickt der eigene Account genau diese Botschaft an die eigenen Follower.

Twitter schweigt

Wie genau es den Angreifern gelingt, in das System mit den Direct Messages einzudringen, ist nicht klar. Twitter hat entsprechende Fragen, egal ob sie via Tweet oder via E-Mail gestellt wurden, bislang nicht beantwortet. Auf den offiziellen Seiten des Unternehmens findet sich nur eine generelle Warnung vor dem Problem, deren Darstellung noch dazu falsch ist.

Dort steht: "If you enter your credentials on that fraudulent page, the phishers can sign in as you and trick more people." Wer also auf einer Phishing-Seite sein Passwort und seinen Login-Namen preisgebe, heißt das, dessen Account könne zum Verschicken genau solches Spams missbraucht werden. Das ist erstens nicht verwunderlich und zweitens nicht korrekt.

Denn der eigene Account wird offensichtlich auch dann missbraucht, wenn der betroffene Nutzer seine Logindaten eben nicht preisgegeben hat, ja sogar dann, wenn er die entsprechende Phishing-Seite gar nicht gesehen hat. Mehrere Betroffene versichern glaubhaft, dass sie solche DM bekamen, auf den Link in einer klickten, anschließend aber keine Phishing-Seite sahen und nirgends irgendwelche persönlichen Daten oder gar Passworte eingaben. Trotzdem verschickten sie anschließend selbst solche DM.

Immerhin wird die Phishing-Seite von Twitter erkannt und automatisch blockiert. Wer auf den Spam-Link klickt, sieht eine Seite von Twitter, die um Entschuldigung dafür bittet, dass die verlinkte Seite nicht angezeigt werden könne. Das Problem ist eindeutig schon älter. Bereits im September 2012 beschreibt es die Seite CNET. Andere Hinweise auf diesen Angriff sind sogar noch viel älter. Aber die Malware scheint noch immer unterwegs zu sein. Und sie scheint eine Lücke in Twitter-Apps zu nutzen, um sich neue Accounts auch ohne das Passwort zu Eigen zu machen.

Leserkommentare
    • _
    • 23. Januar 2013 16:39 Uhr

    Dasselbe ist mir vor gut einem halben Jahr schon passiert. Also habe ich das Passwort geändert und es war wieder gut.

    • k-os
    • 23. Januar 2013 16:49 Uhr

    jene, die jeden scheiß anklicken und jene die es lassen :D

    • Hofres
    • 23. Januar 2013 16:56 Uhr

    Der Bundesvorsitzende der Piraten erkennt Spam nicht, wenn er vor der Nase sitzt und löscht seinen Account? Epic Fail nennt man sowas.

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    So wie ich das sehe erfolgte die Löschung, weil Schlömer erkannt hat, dass sein Account infiziert ist und somit in seinem Namen Spam verschickt. Somit also vor dem Hintergrund seine Follower nach Möglichkeit davor zu bewahren sich ebenso zu infizieren. Somit in meinen Augen eine durchaus verständliche und richtige Reaktion. Es hätte wohl auch gereicht einfach das Passwort zu ändern, ja. Aber das hat er vermutlich nicht gewusst und somit richtig gehandelt.

  1. So wie ich das sehe erfolgte die Löschung, weil Schlömer erkannt hat, dass sein Account infiziert ist und somit in seinem Namen Spam verschickt. Somit also vor dem Hintergrund seine Follower nach Möglichkeit davor zu bewahren sich ebenso zu infizieren. Somit in meinen Augen eine durchaus verständliche und richtige Reaktion. Es hätte wohl auch gereicht einfach das Passwort zu ändern, ja. Aber das hat er vermutlich nicht gewusst und somit richtig gehandelt.

  2. Redaktion
    5. fail?

    Naja, ich habs auch geklickt, weil ich phishing erwartet habe und es sehen wollte und davon ausging, dass nix passiert, solange ich nichts eingebe. Irrtum -> Lernkurve.

    So ist Leben.

    lg
    k

    2 Leserempfehlungen
  3. ...werfe ich mal http://longurl.org/ in den Raum. Dort kann man herausfinden, welche URLs tatsächlich hinter von link-shortenern generierten kurz-URLs stecken. Es gibt für fast alle Browser extensions oder userscripts (für Opera o. Greasemonkey), um diese Umwandlung automatisch vorzunehmen oder eine Vorschau der Links per Mouseover anzubieten.

    Hilft zwar nicht gegen Twitters Sicherheitslücke, aber ist generell hilfreich für die Beurteilung der "Seriösität" von Links, unabhängig davon wo man sie findet. So hätte man bei dem twitter-Link zum Beispiel feststellen können, dass er zur domain "iwtitter" führt, woraus man bereits seine Schlüsse ziehen und sich das Draufklicken verkneifen sollte.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Bernd Schlömer | Piratenpartei | App | Botschaft | Smartphone | Ass
Service