Angriffe: Forscher knackt Twitters neue Sicherheitsmechanik

Von

Twitter-Seite: Login wie beim Onlinebanking Zur Großansicht
DPA

Twitter-Seite: Login wie beim Onlinebanking

Eben eingeführt, schon ausgehebelt: Mit einem neuen, zweistufigen Anmeldeverfahren will Twitter Kursmanipulationen durch Falschmeldungen verhindern. Doch Sicherheitsforscher haben die neue Hürde bereits überwunden - mit einfachsten Mitteln.

Mitte dieser Woche hat Twitter ein neues Sicherheitsverfahren eingeführt, jetzt ist es bereits ausgehebelt worden. Der Sicherheitsforscher Sean Sullivan vom Dienstleister F-Secure nimmt die neue Anmeldemethode des Kurznachrichtendiensts auseinander. Sein Fazit: Man kann nur hoffen, dass Twitter das Verfahren bald überarbeitet.

Eigentlich sollte das neue Verfahren verhindern, dass populäre und vertrauenswürdige Twitter-Konten gekapert und zur Verbreitung von Falschmeldungen genutzt werden. In den vergangenen Wochen hatten unbekannte Angreifer unter anderem Twitter-Konten der Nachrichtenagenturen AFP und AP übernommen. Als Angreifer über ein AP-Twitter-Konto Falschmeldungen über angebliche Explosionen im Weißen Haus verbreiteten, waren die Kurse am US-Aktienmarkt für kurze Zeit eingeknickt.

Vor diesem Hintergrund überrascht es, wie leicht sich Twitters neue Sicherheitsmechanismen offenbar aushebeln lassen. Sean Sullivan von F-Secure beschreibt ausführlich ein von ihm ausprobiertes Angriffsszenario. So funktioniert es im Detail:

  • Twitter schickt bei der neuen zweistufigen Anmeldung bei jedem Login-Versuch eine SMS mit einem neuen Code an eine vorab angegebene Mobilfunknummer.
  • Diesen Code muss man beim Anmelden auf der Twitter-Seite zusätzlich eingeben.
  • Allerdings nutzt Twitter dieselbe Mobilfunknummer auch für optionale Benachrichtigungen. Deshalb ist es möglich, per SMS mit Angabe der Mobilfunknummer den Versand von SMS zu stoppen, damit man zum Beispiel im Ausland schnell den kostspieligen Versand der Kurzmitteilungen per Roaming unterbinden kann.
  • Mit dem SMS-Stopp-Befehl wird auch die Zwei-Faktor-Anmeldung deaktiviert. Angreifer müssen nur die Mobilfunknummer des Opfers kennen, bei gezielten Angriffen auf prominente Twitterer mit Spearphishing-E-Mails dürfte es ein Leichtes sein, die Nummer in Erfahrung zu bringen.

Der Chef der Sicherheitsfirma Toopher, Josh Alexander, beschreibt in einem YouTube-Video eine andere Angriffsmethode, die man schon vom Onlinebanking kennt:

  • Mit einer gezielt verschickten und gut formulierten Lock-E-Mail bringen die Angreifer ihr Opfer dazu, eine von ihnen gefälschte Twitter-Seite aufzurufen.
  • Das Opfer gibt auf der gefälschten Seite sein Login ein. So kommen die Täter ans Passwort (das ist offenbar bei den Übernahmen der AP- und AFP-Konten geschehen).
  • Die Täter loggen sich sofort mit dem erbeuteten Passwort auf der echten Twitter-Seite ein. Es wird eine SMS an das Telefon des Opfers geschickt.
  • Auf der gefälschten Twitter-Seite fragen die Täter im nächsten Schritt die per SMS verschickte Sicherheitskennung ab. Das Opfer tippt sie arglos ein, die Täter haben nun den Code und somit sofort Zugriff auf das Konto der Zielperson. In den Einstellungen können sie nun die zweistufige Anmeldung wieder abstellen.

Das Fazit des Toopher-Chefs Alexander: "Die neue Lösung lässt die Tür weit offen für die Art von Man-in-the-Middle-Angriffen, durch die bereits der Ruf von großen Nachrichtenquellen und Stars beschädigt wurde."

Die von Alexander und Sullivan beschriebenen Angriffe sind aufwendig. Aber die Investition könnte sich für Krimielle lohnen: Wer es schafft, über AP-Konten Falschmeldungen zu verbreiten, kann Märkte manipulieren und mit entsprechenden Wetten Millionen verdienen.

Der Autor auf Facebook

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Twitter
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.