X veränderte User-Beiträge: Gefundenes Fressen für Phisher

Freie Rede gibt es beim Mikrobloggingdienst X manchmal nur so, wie es X gefällt. Ohne Erlaubnis der Urheber hat das Unternehmen seit Dienstag in Postings seiner Nutzer die Zeichenfolge twitter.com durch x.com ersetzt. twitter.com war die frühere beworbene URL des Dienstes, als der noch Twitter hieß. Das neue Script war so dämlich, den Eingriff auch am Ende von URLs durchzuführen, ohne aber den zugrundeliegenden Hyperlink zu entfernen oder anzupassen. Postete ein User beispielsweise einen Link zu fedetwitter.com, täuschte der sichtbare Text einen Link zu fedex.com vor, obwohl ein Klick darauf tatsächlich zu fedetwitter.com führte.

So eine Irreführung ist ein gefundenes Fressen für Phisher. Sie können damit überzeugendere Fallen stellen. Die meisten User prüfen nämlich nicht den technischen Hyperlink und glauben irrtümlich, eine bekannte Webseite wie carfax.com aufzurufen. Tatsächlich landen sie dann aber bei carfatwitter.com, einer völlig anderen Domain – wo die Webseite genau gleich aussehen kann, eingegebene Daten aber in falsche Hände gelangen oder heruntergeladene Dateien Schadcode enthalten können.

Die Irreführung funktionierte am Dienstag und Mittwoch für alle auf *x.com endenden URLs, von denen es sonder Zahl gibt. X-User konnten sich dagegen auch nicht wehren.

Are you serious?

Nachdem der prominente IT-Sicherheitsexperte Brian Krebs am Mittwoch auf dieses Risiko aufmerksam machte, stoppte X das Script. Bis dahin wurden aber bereits dutzende auf *twitter.com endende Domains registriert, darunter space-twitter.com, das in Beiträgen auf X als space-x.com dargestellt wurde. Ein Teil der Domainregistrierungen dürfte defensiv erfolgt sein, um Phishingangriffe hintanzuhalten.

"Are you serious, X Corp?", steht beispielsweise unter roblotwitter.com zu lesen. Jemand anderer stellt unter carfatwitter.com die gleiche Frage.

(ds)