Phishing bei Twitter


Wer vielen Twitterern folgt bekommt von vielen Twitterern Direktnachrichten (‘Direct Messages’). Ein Teil von denen sind Spammer oder gekaperte Konten, die ihren Followern laufend kurze Texte mit Hyperlinks schicken. Eine dieser Nachrichten erreichte mich gerade wieder:

image

Wer diese Seite besucht, bekommt das hier zu sehen:

image

Entdeckt?

  1. Seit wann hat Twitter ein Videoportal?
  2. Warum lautet der Domainname “zoltykatalogfirm”?

Richtig: Es ist Phishing.

Falls Sie außerhalb von Websites, die nicht auf twitter.com enden zur Eingabe ihrer Anmeldedaten aufgefordert werden, können Sie sich sicher sein, dass die Anmeldedaten nicht an Twitter gesendet werden. Stattdessen freut sich der Autor eines Skripts über die oft richtigen Daten.


In diesem Fall liegt das Skript (login.php), das die Anmeldedaten entgegennimmt, ebenfalls auf zoltykatalogfirm.com. Nach dem Datensammeln leitet es auf ein leeres Blog bei Blogger.com weiter.

Die Masche, nämlich das Phishing, funktioniert immer gleich:

Eine vertraute Seite wird nahezu perfekt nachgeahmt (die hier hat den kleinen Fehler, dass unter dem Hinweistext eine Spitze Klammer angezeigt wird), oft wird sogar eine vertraute Quelle genutzt, um den Link zu verbreiten. Hier war es ein Benutzer von Twitter selbst. Wer beim Klick nicht aufpasst und sich nicht über die angeblich erforderliche Anmeldung wundert, ist in die Falle getappt.

Ähnliche Themen:


Tausende Phishing-Attacken richten sich gegen Nutzer von Hotmail, Gmail, Yahoo und AOL

Über 30 000 Anmeldedaten für E-Mail-Dienste und Messenger im Netz

Ein Nutzer des “Debugging Tools” Pastebin.com hat dort am vergangenen Donnerstag eine Liste mit Benutzerkonten für Microsofts kostenlosem E-Mail-Dienst Hotmail hinterlassen. Die Liste vom 1. Oktober enthielt laut Winfuture über 10 000 Datensätze. Die gephishten Nutzer stammen überwiegend aus dem europäischen Raum. Die erste Liste enthielt nur Sätze mit Adressen, die mit a… oder b… beginnen und auf @hotmail, @msn.com oder @live.com enden.

Das Fatale: Die Mailadressen des Microsoft-Dienstes Hotmail sind zugleich auch Windows Live IDs. Mit dieser ID haben die Nutzer auch Zugang zum beliebten Windows Live Messenger (früher “MSN Messenger”), zu Blogs, den Foren und natürlich zur “Verwaltungszentrale” Windows Live.

Nicht nur Hotmail-Nutzer betroffen

Für einen Blogeintrag lieferte BasicThinking heute ein Update nach, laut dem auch Nutzer anderer Mailanbieter betroffen sein sollen: Anmeldedaten von Nutzern der Dienste Gmail (Google), Yahoo! und AOL-Nutzer sind jetzt ebenfalls im Netz “erhältlich”.

Die Methode

Im Groben funktioniert Phishing immer so: Das Opfer wird durch Werbung oder verschickte Links auf eine Seite gelockt, auf der es seine Anmeldedaten eingeben soll: also etwa einen Anmeldename (wie die Windows Live-ID) und natürlich das zugehörige Kennwort.

Gelegentlich geben sich die Betreiber die Mühe und lassen ihre falschen Websites wenigstens ansatzweise so wie die echten aussehen. Die Betreiber der unten abgebildeten Seiten haben sich diese Mühe aber nicht gemacht – trotzdem waren sie mit ihren Angeboten erfolgreich genug, um weitere Opfer anzulocken.

Klicken Sie auf dieses Bild, um es zu öffnen. (Grafik 2008-09-19-1)

“Blockiertede”, vor etwas mehr als einem Jahr aufgetaucht. Der Betreiber übernahm die Benutzerkonten gephishter Nutzer und verschickte seine Links an deren Kontakte (mit Windows Live Messenger).

imageAuf dieser Seite funktioniert nur das Formular. Die scheinbaren Links am linken Rand sind genauso falsch wie die Grafik rechts.


Besondere Bekanntheit erlangte die Methode, als die Websites von Banken gefälscht wurden und die Kunden zur Angabe von Name und Kontonummer sowie vertraulicher Informationen wie Transaktionsnummern aufgefordert wurden.

Empfehlung: Kennwörter ändern

Den Nutzern der betroffenen Dienste wird empfohlen, ihr Kennwort zu ändern. Ferner ist bei der Aufforderung, die Anmeldedaten auf fremden Seiten einzugeben, große Vorsicht geboten. Wenn die Adresse der Seite nicht mit https:// beginnt und auch vom Domainname her nicht dem Dienst zugeordnet werden kann, sind das Warnzeichen!