Happy Phishing mit Twitter

Per Twitter erhielt Feldstechers Blog am Abend des 26. September 2012 vom stellvertretenden Newsnetz-Chefredakteur, Michael Marti (@michaelmarti), folgende Direktnachricht:

hey someone is writing cruel things that are about you http://bit.ly/RYbRNC

imageAuf den ersten Blick ist klar, dass mit der Nachricht etwas nicht stimmt. Auch wenn oder gerade weil Michael Marti stellvertretender Chefredakteur von Newsnetz ist.

Der Zugriff auf den angegebenen bit.ly-Link führte über den unbekannten schwedischen URL-Kürzungsdienst ur-l.se zur URL http://twivtter.com:

Umleitung von bit.ly Zwischenstation ur-l.seEndstation twivtter.com

An diesem Punkt musste Feldstecher erst einmal herzhaft lachen: eine Phishing-Site, die das Twitter-Passwort entlocken sollte, angeblich sei die Twitter-Session abgelaufen, Feldstecher müsse sich erneut einloggen. Vielleicht ein dreister Journalistentrick von Marti, à la “News of the World”?

Das Design ist verfänglich, aber trotzdem als Fake erkennbar. Oder haben Sie von Twitter jemals zuvor eine solche Aufforderung erhalten? Feldstecher hat anstatt der Phishing-Site sein Passwort preiszugeben Michael Marti unverzüglich als Spammer gemeldet und danach einen kontrollierenden Blick auf dessen TL geworfen: Newsnetz, TAMEDIA, stellvertretender Chefredakteur. In diesem Moment wurde Feldstecher erst klar, dass Marti vermutlich selber in die Falle getappt war und die Direktnachricht mit dem Phishing-Link nicht von ihm stammte sondern von den Betreibern der Phishing-Site, die zuvor Zugriff auf Martis Twitter-Konto ergaunert haben müssten. So schnell kann’s also gehen, und es passiert offenbar in bestens gebildeten Kaderkreisen. Es kann dem versiertesten Journalisten passieren.

Die (oberflächliche) Untersuchung des Phishing-Versuchs förderte zutage, dass weitere Journalisten in die Falle getappt waren:

Archiv der Neuen Zürcher Zeitung (@seit1780):imageimageimage

Pascal Ihle, stv. Chefredakteur der “Handelszeitung” (@pascal_ihle):image

Reto Lipp, SF-Moderator der Sendungen “Eco” und “Börse” (@retolipp):imageimageimage

Thomas Ley, Tagesanzeiger-Reporter (@thomas_ley):image

DRS Regionaljournal Bern (@SRF_Bern):image

Das Ausmaß der Katastrophe ließ sich mit der einfachen Twitter-Suche nach dem String “best diet pill to lose” auflisten. Die Opfer sind Legion. Es fanden sich zudem Hinweise auf weitere prominente Opfer der Phishing-Attacke:

imageimage
image

Das Vorgehen der Cyberkriminellen ist äußerst raffiniert:

  1. Per Twitter-Direktnachricht wird das Opfer aufgeschreckt, dass jemand Negatives über sie oder ihn im Internet veröffentlicht hat. Dieser Mitteilung ist ein Link beigefügt. Die Täter schüren Angst und Neugierde und stellen mit dem Link ein Mittel, um auf der Stelle die Neugierde zu befriedigen bzw. die Angst zu besänftigen.
  2. Der angegebene Link führt über den Umweg eines unbekannten schwedischen URL-Kürzungsdienstes zu einer Phishing-Seite. Diese präsentiert sich dem ungeschulten oder auch nur unaufmerksamen Besucher unter der täuschenden URL http://www.twivtter.com als Twitter-Seite, auf der infolge eines angeblichen Twitter-Sessionsendes erneut einzuloggen ist.
  3. Ein erneutes Einloggen scheint dem Opfer erforderlich, um von Twitter zur Website mit der behaupteten Negativmeldung weitergeleitet zu werden. Zumindest wird diese Notwendigkeit suggeriert. Unter Druck, so schnell wie möglich alles über die vielleicht rufschädigende Negativmeldung zu erfahren, gibt das Opfer seine Anmeldedaten ein. An dieser Stelle erhalten Cyberkriminelle die Zugangsdaten für das Twitter-Konto ihres nichtsahnenden Opfers.
  4. Die Cyberkriminellen loggen sich darauf mit den Zugangsdaten ihres Opfers in Twitter ein und versenden vom Twitter-Konto ihres Opfers jeweils per Direktnachricht an dessen Gefolge dieselbe beängstigende Mitteilung, dass über die Benachrichtigten jemand Negatives verbreite, einschließlich Link zur Phishing-Seite. Dabei können die Täter in einigen Fällen nun auch vom Vertrauen der Gefolgsleute in den vermeintlichen Urheber der Direktnachricht profitieren. Wenn üblicherweise Deutschsprachige englische Direktnachrichten versenden, fällt zwar auf den ersten Blick auf, dass etwas nicht stimmt. Aber unter Englischsprachigen entsteht womöglich der Eindruck eines gutgemeinten Tipps unter Freunden.
  5. Ein Teil des Gefolges klickt den verhängnisvollen Link an und übermittelt den Tätern über die Phishing-Seite neue Twitter-Zugangsdaten, dank welchen sie Zugriff auf weitere Twitter-Konten erhalten. Ab hier tritt sozusagen die unkontrollierte Kettenreaktion ein: die Kriminellen erhalten mit jedem neuen Twitter-Konto, zu dem sie sich Zugang verschaffen, auch neue Opfer und Zugang zu deren Twitter-Konten.
  6. In einem weiteren Schritt benutzen die Cyberkriminellen die Twitter-Konten ihrer Opfer, um durch gewöhnliche Tweets oder als Direktnachrichten Spam zu verbreiten, beispielsweise Werbung für “diet pills”, Cialis, Viagra, usw. mit entsprechenden Links oder Links zu Phishing-Seiten.

Wie zwei der oben betrachteten Fälle zeigen, haben die Täter von mindestens einem Teil der gephishten Twitter-Konten aus mit einem Link versehen getwittert:

Best diet pill to lose 30 pounds in 1 month!

Bei Spamkennern löst diese Formel nur mehr ein müdes Lächeln aus. Viel gefährlicher aber sind Täter, die keine Aufmerksamkeit mit Spam-Tweets erregen, nachdem sie sich Zugangsdaten zu einem Twitter-Konto gephisht haben. Täter könnten einige Zeit abwarten, bis sie den Zugang zu einem fremden Twitter-Konto zu missbrauchen beginnen. Die Dunkelziffer der Twitterer, die es nicht bemerken, wenn ihre Zugangsdaten gephisht werden, ist generell womöglich grösser als man im ersten Moment annehmen würde. Gefährlich ist dabei zudem, dass auch Twitterer, die Phishing bemerken und ihr Passwort umgehend ändern, sich damit in falscher Sicherheit wiegen könnten. Denn ein Passwortwechsel bringt bei Twitter unter Umständen nichts.
Wenn ein Benutzer Applikationen von Drittanbietern gestattet, sein Twitter-Konto zu verwenden, wird die Applikation authentifiziert (OAuth). Sie erhält dabei keinen Zugriff auf das Passwort. Dieses benötigt sie nicht. So können Applikationen auch nach einem Passwortwechsel auf das Twitter-Konto ihres Benutzers zugreifen. Wenn die Täter eher wenig verbreitete und von ihren Opfern mit Sicherheit nicht genutzte Applikationen mit den Zugangsdaten bei Twitter authentifizieren, können sie mit diesen Applikationen auf die Twitter-Konten ihrer Opfer auch dann noch zugreifen, wenn diese ihre Passwörter längst geändert haben. Dagegen hilft nur die Überprüfung der bei Twitter authentifizierten Applikationen und die Sperrung unbekannter und nicht (mehr) benutzter Applikationen.

Abschließend stellt sich nur die Frage, wie Journalisten auf einen derart plumpen Phishing-Versuch hereinfallen konnten, wie zwei stellvertretende Chefredakteure den Cyberkriminellen auf den Leim gehen konnten. Als Kader müssten sie mit Essentiellem der Infosec vertraut sein. Dies gehört heutzutage zum Rüstzeug. Nicht zu sprechen von der Bank Wegelin, wenn sich das Gerücht über Spam-Direktnachrichten von ihrem Twitter-Konto denn bewahrheiten sollte.
Es sollte uns grauen. Beim Gedanken an elektronische Verarbeitung von Patientendaten beispielsweise sollten uns die Haare zu Berge stehen. Wenn zwei Chefredakteure, ein SF-Wirtschaftsmoderator und eine Bank Wegelin plumpsten Phishing-Versuchen auf den Leim kriechen, was meinen Sie, wie anfällig werden beispielsweise Ärzte, Krankenschwestern oder Apotheker sein? Man darf jedenfalls gespannt sein, ob und allenfalls wie die Mainstream-Medien über diese Phishing-Attacke und die Pannen einiger Journalisten berichten werden.

Dieser Beitrag wurde unter Journalismus, Sicherheit abgelegt und mit , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s