Angriffe: Forscher knackt Twitters neue Sicherheitsmechanik

Von

Twitter-Seite: Login wie beim Onlinebanking Zur Großansicht
DPA

Twitter-Seite: Login wie beim Onlinebanking

Eben eingeführt, schon ausgehebelt: Mit einem neuen, zweistufigen Anmeldeverfahren will Twitter Kursmanipulationen durch Falschmeldungen verhindern. Doch Sicherheitsforscher haben die neue Hürde bereits überwunden - mit einfachsten Mitteln.

Mitte dieser Woche hat Twitter ein neues Sicherheitsverfahren eingeführt, jetzt ist es bereits ausgehebelt worden. Der Sicherheitsforscher Sean Sullivan vom Dienstleister F-Secure nimmt die neue Anmeldemethode des Kurznachrichtendiensts auseinander. Sein Fazit: Man kann nur hoffen, dass Twitter das Verfahren bald überarbeitet.

Eigentlich sollte das neue Verfahren verhindern, dass populäre und vertrauenswürdige Twitter-Konten gekapert und zur Verbreitung von Falschmeldungen genutzt werden. In den vergangenen Wochen hatten unbekannte Angreifer unter anderem Twitter-Konten der Nachrichtenagenturen AFP und AP übernommen. Als Angreifer über ein AP-Twitter-Konto Falschmeldungen über angebliche Explosionen im Weißen Haus verbreiteten, waren die Kurse am US-Aktienmarkt für kurze Zeit eingeknickt.

Vor diesem Hintergrund überrascht es, wie leicht sich Twitters neue Sicherheitsmechanismen offenbar aushebeln lassen. Sean Sullivan von F-Secure beschreibt ausführlich ein von ihm ausprobiertes Angriffsszenario. So funktioniert es im Detail:

  • Twitter schickt bei der neuen zweistufigen Anmeldung bei jedem Login-Versuch eine SMS mit einem neuen Code an eine vorab angegebene Mobilfunknummer.
  • Diesen Code muss man beim Anmelden auf der Twitter-Seite zusätzlich eingeben.
  • Allerdings nutzt Twitter dieselbe Mobilfunknummer auch für optionale Benachrichtigungen. Deshalb ist es möglich, per SMS mit Angabe der Mobilfunknummer den Versand von SMS zu stoppen, damit man zum Beispiel im Ausland schnell den kostspieligen Versand der Kurzmitteilungen per Roaming unterbinden kann.
  • Mit dem SMS-Stopp-Befehl wird auch die Zwei-Faktor-Anmeldung deaktiviert. Angreifer müssen nur die Mobilfunknummer des Opfers kennen, bei gezielten Angriffen auf prominente Twitterer mit Spearphishing-E-Mails dürfte es ein Leichtes sein, die Nummer in Erfahrung zu bringen.

Der Chef der Sicherheitsfirma Toopher, Josh Alexander, beschreibt in einem YouTube-Video eine andere Angriffsmethode, die man schon vom Onlinebanking kennt:

  • Mit einer gezielt verschickten und gut formulierten Lock-E-Mail bringen die Angreifer ihr Opfer dazu, eine von ihnen gefälschte Twitter-Seite aufzurufen.
  • Das Opfer gibt auf der gefälschten Seite sein Login ein. So kommen die Täter ans Passwort (das ist offenbar bei den Übernahmen der AP- und AFP-Konten geschehen).
  • Die Täter loggen sich sofort mit dem erbeuteten Passwort auf der echten Twitter-Seite ein. Es wird eine SMS an das Telefon des Opfers geschickt.
  • Auf der gefälschten Twitter-Seite fragen die Täter im nächsten Schritt die per SMS verschickte Sicherheitskennung ab. Das Opfer tippt sie arglos ein, die Täter haben nun den Code und somit sofort Zugriff auf das Konto der Zielperson. In den Einstellungen können sie nun die zweistufige Anmeldung wieder abstellen.

Das Fazit des Toopher-Chefs Alexander: "Die neue Lösung lässt die Tür weit offen für die Art von Man-in-the-Middle-Angriffen, durch die bereits der Ruf von großen Nachrichtenquellen und Stars beschädigt wurde."

Die von Alexander und Sullivan beschriebenen Angriffe sind aufwendig. Aber die Investition könnte sich für Krimielle lohnen: Wer es schafft, über AP-Konten Falschmeldungen zu verbreiten, kann Märkte manipulieren und mit entsprechenden Wetten Millionen verdienen.

Der Autor auf Facebook

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 16 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Mechanik oder Mechnik?
tvop 25.05.2013
Wiki: Die Mechanik ist ein Teilgebiet der Physik. Sie befasst sich mit der Bewegung von Körpern und der Einwirkung von Kräften..... Aha, Twitter Mechaniker waren am Werk...
2. Tja, Nieten
sverris 25.05.2013
sitzen halt eben doch nicht nur in der Politik.
3. .
TS_Alien 25.05.2013
Das Problem ist nicht die mangelnde Sicherheit von Twitter, das Problem ist, dass etliche Menschen Twitter-Nachrichten ernst nehmen. Dieses Problem lässt sich leider nicht so schnell lösen.
4. naja
harlekinsbg 25.05.2013
die beschriebene art zu hacken ist wie erwähnt wirklich sher aufwendig! und wenn ein nutzer Sicherheitsrelevante Anfrsgen von twitter per mail beantwortet ist eh irgendwo selber Schuld! Twitter und andere Dienste können keine perfekre Sicherheit anbieten sofern das Service auch bequem nutubar bleiben soll! Meines Erachtens ist das jammern auf hohem Niveau
5. Seltsame Begründung
sabaidii 25.05.2013
"Deshalb ist es möglich, per SMS mit Angabe der Mobilfunknummer den Versand von SMS zu stoppen, damit man zum Beispiel im Ausland schnell den kostspieligen Versand der Kurzmitteilungen per Roaming unterbinden kann" Die SMS verschickt Twitter auch bei Roaming zu gleichen Kosten an die gleiche inländische Mobilfunknummer und der Empfang von SMS ist soweit mir bekannt weltweit trotz Roaming kostenlos.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Twitter
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 16 Kommentare

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.