Twitter: Ein wachsendes Sicherheitsminenfeld

Im Juni sah die Welt, wie Tweets aus den Straßen von Teheran Twitter überschwemmten. Häufige Twitter-Nutzer - und Leute, die noch nicht einmal vom Microblogging-Service gehört hatten - wurden plötzlich und gleichzeitig Zeuge ihres Potentials.

Gleichzeitig warnten Antiviren-Anbieter vor neuen Phishing-Attacken, die sich über Twitter ausbreiteten. Unter Verwendung von Twitter-Konten würden Phisher Benutzern folgen und sie dann über einen Link auf eine gefälschte Profilseite infizieren, die mit Malware beladen ist. Wie Instant Messaging, MySpace und Facebook davor war Twitter erwachsen geworden.

Nach drei Jahren relativ ruhiger Entwicklung und Wachstum war der kometenhafte Anstieg des Dienstes im Jahr 2009 hart. Abgesehen von Skalierungsproblemen aufgrund des Zustroms neuer Benutzer, kompromittierte ein Twitter-Hack im Januar die Konten von 33 hochkarätigen Nutzern, darunter Präsident Barack Obama, CNN-Anchor Rick Sanchez und Entertainer Britney Spears.

[Weitere Informationen: Wie? Malware von Ihrem Windows PC entfernen]

Im April hat sich ein Twitter-Wurm namens "Mikeyy" oder "StalkDaily" gemeldet. Ähnlich wie der 2005er Samy-Wurm auf MySpace wurde der Mikeyy-Wurm von einem 17-Jährigen verfasst, der eine Code-Eigenart ausnutzte, um für seine Website StalkDaily.com Bekanntheit zu erlangen. Twitter heruntergefahren - und ein paar Folgeviren ("Wie entferne ich den neuen Mikeyy-Wurm!") - ziemlich schnell. Nach den Wurmattacken schrieb Mitbegründer Biz Stone auf dem Unternehmensblog: "Twitter nimmt Sicherheit sehr ernst und wir werden an allen Fronten nachgehen."

Verkürzte URL-Gefahren

Parallel zum Wachstum von Twitter ist die Expansion von URL-Verkürzungsdiensten. Um deine Gedanken in 140 Zeichen zu fassen, braucht es Übung; einschließlich vollständiger URLs ist fast unmöglich. Normalerweise müssen URLs durch Dienste wie Bit.ly und TinyURL.com gekürzt werden, die auch die wahre Ziel-URL maskieren und dadurch ihre eigenen Sicherheitsprobleme darstellen können.

Die ersten Anzeichen für einen URL-gekürzten Fehler kamen mit einem ein Paar Twitter-Würmer, die den Benutzern helfen wollten, den Mikeyy-Wurm zu entfernen. Im Juni fegte eine Welle versteckter vergifteter URLs Twitter mit Bit.ly-Links zu den Domains low.cc und myworlds.mp, wo Nutzer gebeten wurden, eine Datei namens free-stream-player-v_125.exe herunterzuladen, um ein Video anzusehen. Die Datei enthielt Malware. Bit.ly und TinyURL reagierten auf Missbrauchsberichte; Bit.ly blockiert nun zum einen die Domänen low.cc und myworlds.mp.

Mindestens ein Sicherheitsprodukt, ZoneAlarm, blockiert standardmäßig den Zugriff auf TinyURL.com und listet es als potenziell bösartige Website auf (Sie können die Blockierung aufheben es). Du hast auch andere Möglichkeiten dich zu schützen. TinyURL hat eine Vorschau-Funktion und Firefox hat ein Bit.ly Vorschau-Add-on. Einige Twitter-Apps, wie TweetDeck und Tweetie, sehen sich auch die URL an, bevor Sie klicken.

Der Sicherheitsforscher Aviv Raff hat den Juli 2009 zum "Monat der Twitter-Bugs" erklärt, bei dem die Forscher täglich eine neue Twitter-Schwachstelle offenlegen. Da Raffael frühere Bemühungen auf Browser und Apple Mac OS Schwachstellen konzentrierte, sagte er, sein Ziel sei nicht, Twitter zu brechen, sondern es zu verbessern und alle Schwachstellen im Social Network zu beseitigen: "Ich hoffe, dass Twitter und andere Web 2.0 API-Anbieter eng mit ihnen zusammenarbeiten werden API-Konsumenten, um sicherere Produkte zu entwickeln. " Der erste offenbarte Twitter-Bug betrifft Cross-Site-Scripting-Fehler in Bit.ly. Innerhalb von Stunden nach der Veröffentlichung korrigierte Bit.ly sie.

Folge mir, bitte

Ein häufiges Ziel von Twitterern ist es, ein Publikum aufzubauen; Manche Leute bewerten ihr Profil als Erfolg, wenn es Hunderte oder sogar Tausende von Anhängern gibt. Eine Website namens TwitterCut hat angekündigt, dass es Ihre Fangemeinde dramatisch vergrößern würde - wenn Sie Ihren Benutzernamen und Ihr Passwort angeben würden. Die meisten Sicherheitsanbieter betrachteten es als Pay-per-Click-Betrug.

Wer auf den Betrug hereingefallen war, sah seine Twitter-Accounts später beim "Best Video" Phishing-Angriff, bei dem jeder, der einen Link im Tweet besuchte, herunterging ein bösartiges PDF, das dann versuchte, ein gefälschtes Sicherheitsprodukt zu installieren, wenn auf dem PC das neueste Sicherheitsupdate von Adobe nicht verfügbar war.

Gone Phishing

Die meisten Twitter-Phishing-Versuche sind jedoch einfacher. Twitter benachrichtigt routinemäßig die Benutzer neuer Follower per E-Mail, oft mit einem Link zum Profil des Follower. Kürzliche Phishing-Angriffe haben diese E-Mail verfälscht und einen Link zu einer falschen Twitter-Anmeldeseite enthalten.

Eine weitere Variante des Phishing-Betrugs hat einen Tweet gesendet: "Hey, sieh dir diesen lustigen Blog über dich an." Ein Klick auf die URL führte das Opfer zu einer gefälschten Seite (twitter.access-logins.com/login/). Egal, wie gut die Seite aussieht, überprüfe die URL und denke zweimal darüber nach, ob du deine Informationen eingeben möchtest - insbesondere, wenn du bereits bei Twitter eingeloggt bist.

Böse Jungs haben auch subtilere Taktiken versucht, wie z. Name Spiel. Um den Namen zu erstellen, den du während deiner Karriere als Erwachsener benutzt, nimmst du den Namen deines ersten Haustiers und kombinierst es mit der Straße, auf der du aufgewachsen bist, dem Mädchennamen deiner Mutter oder dem Modell deines Autos. Erkenne diese Dinge? Sie sind allgemeine Sicherheitsfragen. Indem Sie Ihre Antworten twittern, können Sie den Zugang zu Ihrem Twitter-Konto oder zu Ihrem Bankkonto freigeben.

Einige der aufkommenden Sicherheitsregeln für die Verwendung von Twitter sind einfach gesunder Menschenverstand. Genauso wie Sie keine Telefonnachricht hinterlassen würden, die sagt, dass Sie nicht in der Stadt sind, twittern Sie nicht Ihre Urlaubspläne. Teilen Sie Ihren Standort bitte nicht mit, wenn Sie als US-Kongressabgeordneter eine vertrauliche Auslandsreise machen. Fragen Sie einfach den Vertreter Pete Hoekstra (R-MI), der zu Beginn dieses Jahres getwittert hat: "Ich bin gerade in Bagdad gelandet. Ich glaube, es könnte das erste Mal sein, dass ich [BlackBerry] im Irak hatte."