Herr Wang schickt einen Tweet

Warum man von den @zeitbombern komische Nachrichten bekommt*

* Eine Kurzfassung unseres Zeitbombe-Talks und Seminars im Betahaus Hamburg am 16.5.2012, und die Langfassung im Video.

Vielleicht folgen Sie zufällig unserem Twitter-Account, dem @zeitbomber. Dann sind die Chancen ziemlich groß, dass Sie am 15. Mai zwischen 11:08 Uhr und 11:12 Uhr einen Tweet in gebrochenem Englisch erhalten haben. Nach dem Motto: “This person is making terrible things about you”, oder so ähnlich. Dahinter war ein Link platziert, und wenn Sie einem solchen Link dann auch noch gefolgt sind, passierte in der Regel nichts Aufregendes.

Im wahrscheinlichsten Fall sind Sie auf einer Seite gelandet, die relativ glaubwürdig zu Twitter selber zu gehören scheint. Da steht dann: „Ihre Session ist ausgelaufen – bitte melden Sie sich hier erneut an“. Das kann man tun, also Usernamen und  Passwort eingeben, und das war’s dann schon.

Wenn man – wie wir das mal zum Testen gemacht haben – auf diese Seite mit einem Browser geht, in dem Javascript und dergleichen abgeschaltet sind, der also besonders hohe Sicherheitseinstellungen hat (don’t try this at home), kriegt man eine Aufforderung, das bitte gleich mal zu ändern. „Twitter ist auf Javascript angewiesen“, steht dann da. Außerdem bietet die Seite noch alle möglichen alternativen Methoden, angeblich Twitter viel besser zu nutzen, und zum Beispiel Email-Daten samt Passwort einzugeben, Twitter-SMS-Accounts zu eröffnen, auf eine mobile Seite zu wechseln und dergleichen.

Halbwegs geübte Computer- und Internetnutzer können sich denken: Das ist nicht die wahre Twitter-Seite.

 

Die Seite heißt genau genommen „twititre.com“, und sie wurde registriert von einem Mann, der noch eine Reihe weiterer Webseiten mit falsch getippten  Versionen des Namens „Twitter“ betreibt, zum Beispiel wvivvitter.com, rtwitteri.com oder tivwitter.com. Klicken Sie nicht drauf.

Der Man, der twititre.com betreibt, heißt Wang Xing. Oder er nannte sich zumindest Wang Xing, als er die Seite registrierte, so genau kann man das nicht wissen. Seine Email-Adresse lautet shujung355@hotmail.com, aber wenn man dorthin eine Antwort schickt, bekommt man leider keine Antwort. Die Adresse ist gar nicht mehr bei Hotmail verzeichnet. Der Server steht den Verzeichnissen zufolge in der Hausnummer 31 in der Jingrong Street in Peking, das sieht von außen wie ein normales aber etwas düsteres riesiges Wohnhaus aus,und er beherbergt dem Anschein nach noch viele andere interessante Webseiten wie „join-atkins.com“ (da geht es um eine Diät, die hauptsächlich aus Fleisch und Fett besteht), und„archmeet.com“ (mit dem zugkräftigen Werbespruch „Get Laid Tonight“).

Wenn man auf den benachbarten Adressen im Umfeld mal herumpoket, finde man alle möglichen Angebote an Geschäftemacher und Startup-Interessenten, für das Email-Marketing zum Beispiel, den Verkauf von Tausenden von Email-Adressen und Identitäten im Netz, und Business Tips: Unser Favorit ist „Das Geheimnis fauler Menschen, über Nacht zu viel Geld zu kommen“. Alternativ auch gerne: „Wie Sie mit hausgemachten Aerobic-Videos Ihre Finanzprobleme lösen“.

Wie gesagt, schade dass Herr Wang nicht antwortet. Wir hätten gerne mehr erfahren.

Herr Wang antwortet nicht

Jetzt fragen Sie sich, warum der Link zu diesem vertrauenswürdigen Herrn an die Twitter-Follower der Zeitbomber verschickt wurde. Eigentlich handelt es sich um einen der ältesten Tricks der Twitter-Welt: Solche Nachrichten werden massenhaft verschickt, die Systeme dahinter laufen quasi vollautomatisch. Aber die Antwort lautet höchstwahrscheinlich, dass irgend einer von uns Vollpfosten im Eifer des Gefechtes trotzdem auf diesen Link geklickt und unbedacht unsere Twitterdaten eingegeben hat. Irgendwann in den vergangenen Tagen, den vergangenen Wochen.

Twitter-Links? Sehen sowieso alle ziemlich gleich aus. Natürlich klickt man da schon mal unbedacht drauf. Aus der Sicht von Herrn Wang wäre es noch effektiver gewesen, statt des blöden Spruchs von den “Nasty Rumours” irgendwas à la “Hier ist unser neuer Pressebericht” zu schreiben. Und die Eingabe von Daten auf einer gefälschten Seite? Wenn man Seiten wie “twititre.com” in manchen Browsern auf Mobiltelefonen öffnet, sieht man nicht mal richtig, welche URL die Seite hat. Der Bildschirm ist so klein, dass die Seiteninformation häufig ausgeblendet bleibt. Das Reinfallen auf Tricks wird damit aber um so einfacher.

Eine andere Erklärung ist noch, dass @zeitbomber ja so ein Account ist, das von mehreren Leuten betrieben wird. Zusammengenommen greifen wir von 8 verschiedenen Geräten darauf zu, und auch noch über verschiedene Apps und über die „Wordpress“-Schnittstelle unseres Blogs, das Sie gerade lesen. Da sind dann jedesmal auch noch die Passwörter gespeichert, auch da sind eine Reihe von Sicherheitslücken denkbar. Da gibt es reihenweise Tricks und Hacks, ist in diesem Fall aber eher unwahrscheinlich.

Hamann verdächtigt Fischermann

Jedenfalls verdächtigt Götz Hamann jetzt Thomas Fischermann, Thomas Fischermann verdächtigt Götz Hamann, aber es hilft ja nichts: Wir standen dann also zwischen 11:08 Uhr und 11:12 Uhr in den Diensten von Herrn Wang aus der Jingrong-Straße. Und Twitter ist ja toll: Wir bekamen quasi sofort nach Beginn des Spamversands von unserem Konto auch Nachrichten von einigen Abonnenten, die uns warnten. Das war also relativ schnell abzustellen. Ist auch nicht so schwer.

Das war nun einerseits eine bekloppte Panne. Zum Glück war es auch ziemlich unbedeutend.

Herr Wang und die anderen Spammer dieser Art missbrauchen die gekaperten Konten in der Regel, um Werbebotschaften zu verschicken (Schlankheitsmittel und so etwas), und manchmal – wie in unserem Fall – auch bloß dafür, um den Link weiter zu propagieren. Wir haben auch bei F-Secure in Finnland Auskünfte über den Javascript-Code eingeholt, der auf solchen verlinkten Seiten steht, und der scheint weiter harmlos. zu sein Er stellt fest, welcher Browser und welche Geo-Location der Besucher hat, und ob der Besucher wirklich gerade von Twitter kommt. Interessanter Nebenaspekt: Wenn der Besucher nicht von Twitter kommt, dann wird die ganze Phishing-Aktion abgebrochen. Das ist eine Schutzmaßnahme der Betreiber solcher Webseiten, damit Webcrawler nicht automatisch nach solchen Seiten suchen und sie alle proaktiv blocken. Es ist nicht ausgeschlossen, dass in anderen Fällen über Javascript auch viel schlimmere Sachen gemacht werden, aber das war hier offenbar nicht der Fall.

So. Aber das ist natürlich genau der Grund, aus dem wir im vergangenen Jahr dieses Buch geschrieben haben.

Wir benutzen hier im Augenblick eine Infrastruktur rings um das Netz, die immer wichtiger wird, die das Gros der Nutzer aber nicht hinreichend sicher bedienen kann.

Lange Zeit war das alles egal

Lange Zeit war das eher egal, weil nicht viel daran hing, ob mal ein Passwort wegkam.

Bei Twitter, Facebook und so weiter ist es aber wohl den allermeisten Usern nicht mehr so ganz egal, ob sie die Kontrolle darüber verlieren können. Diese Dienste sind wesentlich geworden für unsere soziale Vernetzung, Kommunikation, Reputation und so weiter.

Ganz ungemütlich wird es dann beim Homebanking, beim elektronischen Bezahlen und dergleichen. Da sind noch viel mehr Betrugsversuche am Start, und zwar raffiniertere und professionellere als die Seite von Herrn Wang.

Vielen Leuten ist nicht klar, dass allein schon der geklaute Zugang zu einem Email-Account einem entschlossenen Cybergauner den Zugang auch zu Einkauf-Webseiten, Sozialen Netzwerkwebseiten oder Bezahldiensten wie Paypal offenlegt. Vielfach läuft das ja so, dass auf diesen Seiten ein Link steht, auf den man klicken und sich ein vergessenes Passwort zuschicken lassen kann – und das geht dann an die Email. Es gibt auch aufwändigere und sicherere Verfahren, aber viele Sites machen es einfach so. Und Emaildaten knacken, das ist fast schon zum Massensport unter Script Kiddies geworden, es ist in vielen Fällen nicht sonderlich schwer.

Woher soll ein User das auch alles wissen?

Kürzlich gab es eine größere Studie, nach der mehr als 80 Prozent der Menschen in Deutschlandmehr oder weniger „aktiv“ am Internet teilnehmen, was gut ist, aber auch keine ganz freie Wahl. Entziehen kann sich dem Internet sowieso niemand. Viele Dinge, vom Banking über die Behördenauskunft bis hin zu vielen Dienstleistunge, kann man ohne das Internet nicht mehr in vollem Umfang nutzen. Zusätzlich werden gerade alle möglichen Vorgänge und Dinge ans Internet angeschlossen, die früher nichts damit zu tun hatten: Autos, Spülmaschinen, Stromzähler im Keller, Atomkraftwerke. Wer heute ein Smartphone kauft, muss sich schon mächtig anstrengen, damit das Ding nicht ständig im Internet surft und Daten über ihn in die weite Welt posaunt (falls er das nicht will).

Aber die Infrastruktur des Internet – und gemeint ist damit die Technik des Netzes, die Protokolle darauf, die Plattformen, die Anwendungen an den Endpunkten, auch die soziale Praxis rings ums Netz einschließlich des Sicherheitsbewusstseins der Menschen muss man eigentlich dazu zählen – ist für diese neuen großen Aufgaben gar nicht ausgelegt.

Ursprünglich war das Internet mal eine Erfindung, die für sehr techniknahe Anwender in Militär und Universitäten entwickelt wurde. Da ging es um vergleichsweise einfache Kommunikation und nicht um die Steuerung unserer Wirtschaft oder des materiellen Alltags. Heute ist das Netz die wesentliche Infrastruktur moderner Industriegesellschaften.

Und weil jetzt immer mehr Leute mitmachen, und weil die Zahl der Anwendungen und Endgeräte und Nutzungsweisen explodiert, wird die Sache einerseits immer komplizierter zu bedienen – und andererseits haben zunehmend viele Nutzer keine Ahnung von dieser Technik. Das führt fast zwangsläufig zu Sicherheitslücken. Es erleichtert das Geschäft von Cyberverbrechern.

Es gibt vier große Fehlschlüsse

An dieser Stelle gibt es in der Debatte nun vier Fehlschlüsse.

Nummer eins: Das ist ja alles furchtbar im Internet! Man sollte da möglichst fernbleiben, zurück auf die Bäume, raus aus dem Netz!

Nummer zwei: Tötet die Überbringer schlechter Nachrichten! Wir haben, seit wir dieses Buch veröffentlicht haben, viel davon mitbekommen.

Nummer drei: Wir müssen versuchen, dieses ganze Netz nach Möglichkeit umfassend zu beaufsichtigen, alle Daten zu sammeln und zu erheben und auf diese Weise irgendwann die Verbrecher fangen. Also: Vorratsdatenspeicherung, Quellenüberwachung und so weiter. Das halten wir allein schon deshalb für einen falschen Weg, weil Gelegenheit die Diebe macht: Je mehr Daten man sammelt, desto mehr Daten kann man auch missbrauchen.

Und der Fehlschluss Numer vier: Die Benutzer sind alles selber schuld! Das Internet funktioniert einwandfrei, aber das Problem sitzt auf einem Stuhl vor dem Bildschirm! Doch ehrlich gesagt: Wenn irgendwann jedes Handy, jedes Auto, der ganze Alltag mit dem Internet verbunden ist, wenn man sich dem kaum noch entziehen kann (und es auch nicht möchte), wie viel technisches Können und wie viel Gefahrenbewusstsein kann man da voraussetzen?

Die Antwort lautet: Fast gar keine mehr.

Wie viel Gefahrenbewusstsein kann man voraussetzen?

Zum Teil sind solche Debatten dann unfreiwillig komisch, denn es sind ja nicht nur echte Kenner der Materie, die sich da gegenseitig belehren.

Einer schrieb uns, warf uns Panikmache in Sachen Homebanking vor und begründete das so: „Nach jeder Transaktion lösche ich komplett die Cookies .. und defragmentiere (meine Festplatte) mit dem Defraggler. Mein Antivirenprogramm, welches ich ebenfalls täglich laufen lasse, bescheinigt mir immer, dass mein Computer geschützt ist. Kann mir da noch was passieren?“

Die Antwort können Sie selber nach Lektüre unseres Buches geben. Ein paar Lösungsvorschläge, wie es besser gehen könnte finden Sie ebenfalls im Buch und auch schon mal hier.