Achtung: Twitter-Wurm via Direct Message

Dass Twitter auch gerne von Phisher und Spamern missbraucht wird, ist ein alter Hut. Meist wird das Opfer via Erwähnung von einem unbekannten Account aufgeschreckt. Der Text, meist in Englisch, weist darauf hin, dass irgendwelche Bilder oder Gerüchte über einem verbreitet werden. Klickt man auf den mitgegebenen Link, erscheint eine gefälschte Twitter-Seite, die einem auffordert, Login und Passwort einzugeben. Der Account ist gehackt und der Nutzer wird selber zur Spam-Schleuder.

Geübte Nutzer werden wohl stutzig werden, wenn man aufgefordert wird, Login und Passwort einzugeben. Denn das ist im Prinzip nicht erforderlich, um eine öffentliche Twitter-Message anzuschauen. Ziemlich fies hingegen ist der Angriff via Direct Message (DM). Grundsätzlich ist es möglich, Direct Messages an seine Follower zu schicken. Andersrum geht bekanntlich nicht, dazu braucht es ein gegenseitiges followen.

Ohne Passworteingabe zur Spam-Schleuder

Das Problem bei diesen Phishing-Angriffen ist, dass der Klick auf den mitgegebenen Link keine Seite öffnet, die nach Login oder Passwort fragt, sondern vermutlich eine Schwachstelle in der Twitter API oder in Twitter-Apps ausnutzt. Diese erlaubt es dem Angreifer, in den Twitter-Account des Opfers zu gelangen und von dort wiederum Direct Messages an Follower zu verschicken.

Twitter schweigt sich zu diesem Problem beharrlich aus, wie Golem.de berichtet. Ein prominentes Opfer einer solchen DM-Attacke ist der Vorsitzende der deutschen Piratenpartei, Bernd Schlömer. Der Politiker, der über 10'000 Follower hatte, löschte daraufhin seinen Account. Das ist jedoch nicht unbedingt nötig. Anscheinend reicht es aus, ein neues Passwort in seinem Account zu setzen, um den Spuk zu beenden.

Unser Tipp: Generell sollte man vorsichtig sein, wenn man Nachrichten bekommt, die in einem alerten Ton darauf hinweisen, dass irgendwelche Bilder oder Gerüchte im Netz die Runde machen, die einem selbst betreffen. Besser man löscht die Nachricht ungelesen oder schreibt den Absender (falls bekannt und vertrauenswürdig) an, ob er diese Nachricht tatsächlich selber verschickt hat. Auch Jobangebote oder anzügliche Nachrichten irgendwelcher grossbusiger Frauen sollte Mann besser ignorieren.