Phishing
Ein moderner Schildbürgerstreich
Schildbürgerstreiche sind zwar etwas aus der Mode gekommen. Doch die automatisierte Änderung der Zeichenfolge „Twitter“ in „X“ durch die Eigentümer-Company ist eine solche törichte Handlung, aber leider auch ein gefundenes Fressen für Phisher.
Die meisten haben es wohl inzwischen mitbekommen, der Kurznachrichtendienst „Twitter“ hat seinen Namen vor einiger Zeit in „X“ geändert. Obwohl das schon vor einer ganzen Weile geschah – und X auch deutlich kürzer als Twitter ist – interessiert es die User Community des Dienstes nur wenig. Trotz Begrenzung der Zeichenfolge wird mit Vorliebe noch der liebgewonnene Name und nicht die mathematische Variable verwendet – sehr zum Missfallen des Eigentümers mit einer großen Vorliebe für ungewöhnliche Namen.
Also suchte man nach einem Weg, das zumindest auf der eigenen Plattform zu ändern. Zukünftig sollte überall wo „Twitter“ stand, ein „X“ stehen. Das, so dachten sich die Programmierer, kriegt auch jedes Microsoft Word durch einfaches Ersetzen der Zeichenfolge hin, und so führten sie diese Änderung auch sofort durch. Fortan durchsuchte ein fleißiger Algorithmus die Datenbank und änderte ungefragt die Zeichenfolge um. Der Zweck war eigentlich erfüllt – warum also Schildbürgerstreich?
Dummerweise änderte die Plattform den angezeigten Text auch in URLs, ohne allerdings den zugrunde liegenden Hyperlink zu ändern. Plötzlich gab es einen internationalen Appetit auf zuvor völlig uninteressante Domains: „fedetwitter.com“ zum Beispiel oder das einigermaßen unschuldig daherkommende „setwitter.com“. Links zu diesen Seiten wurden über den Kurznachrichtendienst gepostet und vom Algorithmus brav abgekürzt. Die Verlinkung blieb allerdings erhalten und leitete eben nicht auf die Seite des Paketdienstes FedEx oder andere Inhalte, sondern auf die eigens eingerichteten neuen Seiten.
Als die Betreiber des Nachrichtendienstes der Posse gewahr wurden, beendeten sie den Automatismus. Der zuständige Programmierer muss nun wohl jeden Link per Hand ändern. – Na gut, der letzte Satz ist hinzugedichtet, der Rest nur ein klein wenig übertrieben.
Phishing in Social Media
Wer den Schaden hat, braucht für den Spott nicht sorgen: Die Geschichte zeigt, dass auch der virtuelle Raum nicht frei von solchen Fehlern ist. Natürlich bietet die automatisierte Veränderung der Anzeige von Links eine Steilvorlage für Cyberangreifer. Sie können dadurch Opfer auf eine falsche Spur locken. Wenn statt „Fedetwitter.com“ „Fedex.com“ angezeigt und die Seite auch entsprechend gestaltet wird, glauben sich Nutzer auf einer vertrauenswürdigen Seite des Paketdienstes – perfekt zum Phishen.
Zum Glück wurde dieser Schildbürgerstreich von Security-Fachleuten bemerkt und Twitter, pardon X, mitgeteilt. Das Unternehmen reagierte sofort. Eine reale Gefährdung existiert nicht mehr. Dennoch erinnert uns die Geschichte daran, im Zusammenhang mit Links immer vorsichtig zu bleiben. Die Anzeige kann irreführen. Wie genau dies geschieht, ist für Nutzer oft nicht nachvollziehbar. Im E-Mail-Bereich kennen wir diese Gefahr, aber sie existiert überall, wo Links verwendet werden – gerade auch in sozialen Netzwerken.
Was der Link uns sagt - URLs beobachten
- Die Anzeige eines Links und die tatsächlich hinterlegte URL müssen nicht übereinstimmen. Achten Sie deshalb immer auch darauf, wohin der Hyperlink tatsächlich führt: Bewegen Sie ohne zu klicken den Mausanzeiger darüber, um das wirkliche Ziel angezeigt zu bekommen.
- In sozialen Medien und Foren werden gerne und oft Links gepostet. Die Anbieter solcher Plattformen sind sich der Gefahr bewusst, dass darunter auch bösartige URLs sein können und unternehmen viel, um eine Gefährdung der Nutzer auszuschließen. Dennoch sollten Sie Vorsicht walten lassen. Klicken Sie keine zweifelhaften Angebote an.
- Sollten Links, die Sie über Interaktion in sozialen Medien angesteuert haben, von Ihnen Daten verlangen (z.B. E-Mail-Adressen oder andere personenbezogene Informationen), sollten Sie alles noch einmal genau überprüfen. Gut gemachte Phishing-Seiten sind für Sicherheitsalgorithmen nur schwer direkt zu erkennen.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.