zurück zum Artikel

X veränderte User-Beiträge: Gefundenes Fressen für Phisher

WTF Daniel AJ Sokolov
Eien Frau greift sich an die Stirn

(Bild: cira.ca)

Ohne Erlaubnis hat X die Zeichenfolge twitter.com in Tweets durch x.com ersetzt. Was kann schon schiefgehen, wenn Links plötzlich anders angezeigt werden?​

Freie Rede gibt es beim Mikrobloggingdienst X manchmal nur so, wie es X gefällt. Ohne Erlaubnis der Urheber hat das Unternehmen seit Dienstag in Postings seiner Nutzer die Zeichenfolge twitter.com durch x.com ersetzt. twitter.com war die frühere beworbene URL des Dienstes, als der noch Twitter hieß [1]. Das neue Script war so dämlich, den Eingriff auch am Ende von URLs durchzuführen, ohne aber den zugrundeliegenden Hyperlink zu entfernen oder anzupassen. Postete ein User beispielsweise einen Link zu fedetwitter.com, täuschte der sichtbare Text einen Link zu fedex.com vor, obwohl ein Klick darauf tatsächlich zu fedetwitter.com führte.

So eine Irreführung ist ein gefundenes Fressen für Phisher. Sie können damit überzeugendere Fallen stellen. Die meisten User prüfen nämlich nicht den technischen Hyperlink und glauben irrtümlich, eine bekannte Webseite wie carfax.com aufzurufen. Tatsächlich landen sie dann aber bei carfatwitter.com, einer völlig anderen Domain – wo die Webseite genau gleich aussehen kann, eingegebene Daten aber in falsche Hände gelangen oder heruntergeladene Dateien Schadcode enthalten können.

Die Irreführung funktionierte am Dienstag und Mittwoch für alle auf *x.com endenden URLs, von denen es sonder Zahl gibt. X-User konnten sich dagegen auch nicht wehren.

Are you serious?

Nachdem der prominente IT-Sicherheitsexperte Brian Krebs am Mittwoch auf dieses Risiko aufmerksam machte [2], stoppte X das Script. Bis dahin wurden aber bereits dutzende auf *twitter.com endende Domains registriert, darunter space-twitter.com, das in Beiträgen auf X als space-x.com dargestellt wurde. Ein Teil der Domainregistrierungen dürfte defensiv erfolgt sein, um Phishingangriffe hintanzuhalten.

"Are you serious, X Corp? [3]", steht beispielsweise unter roblotwitter.com zu lesen. Jemand anderer stellt unter carfatwitter.com die gleiche Frage.

Screenshot: Are you serious, X Corp? Ahoy there, welcome to roblotwitter! I assure you, there's nothing fishy going on here, so feel free to read on. Yeah, it's a "honeypot". Sorry about that. I'm not trying to apologize and get away with it, though. But when you clicked on this link, you probably thought you were looking at something like "roblox.com". Simple URL substitution can cause this kind of thing to happen, so I made this site. So let's shout it out. "Are you serious, X Corp?" (Translation by GitHub Copilot) btw this page is open source, sevenc-nanashi/roblotwitter Written by Nanashi. <sevenc-nanashi>

Screenshot roblotwitter.com

(Bild: Screenshot/Nanashi)

(ds [4])

URL dieses Artikels:
https://www.heise.de/-9681259

Links in diesem Artikel:
[1] https://www.heise.de/news/Twittters-Umbenennung-X-com-in-Indonesien-gesperrt-9228278.html
[2] https://krebsonsecurity.com/2024/04/twitters-clumsy-pivot-to-x-com-is-a-gift-to-phishers/
[3] https://roblotwitter.com/
[4] mailto:ds@heise.de

Copyright © 2024 Heise Medien