«Wie wurde mein Twitter-Account gehackt?» fragt man mich dann. Immer wieder kommt es vor, dass Twitter-Accounts «gehackt» werden. In der Regel handelt es sich dabei um Fehlverhalten der Benutzer – man lädt regelrecht ein, den Twitter-Account zu übernehmen.
Eine kleine Beichte
Mitte der 90er Jahren hatten wir an der Kantonsschule ein neues Computer-Netzwerk erhalten. Alle Schüler und Lehrer erhielten Passwörter. Als PC-Freaks im mittleren Kantonsschulalter kommt da automatisch kriminelle Energie auf.
Wir schrieben ein kleines Tool mit schönem Logo des Netzwerksystems. Dieses Tool wurde nach dem erfolgreichen Windows-Login automatisch gestartet. Es gab dem Benutzer vor, das Login sein nicht erfolgreich gewesen. Man müsste sich deshalb nochmal einloggen.
Schüler, Lehrer – bis hin zum Netzwerk-Administrator – gaben ohne zu zögern ihre Passwörter nochmal ein: in unser System. In jeder Pause schauten wir im Textfile, das als Passwort-Sammlung diente, die neuen Eroberungen an. Es war erschreckend, wie gut das funktionierte.
Das war damals. Vor Spam. Vor Twitter-«Hacks». Irgendwie entschuldbar.
In unserer Abschlusszeitung veröffentlichten wir eine Passwort-Auswahl in Form eines Buchstabenrätsels.
(ich bin fast sicher, dass einige heute noch die Passwörter im Einsatz haben, die wir vor über 20 Jahren geklaut hatten)
Warum wird ein Twitter-Account gehackt?
Merken tun es die Twitter-Friends dann meistens als Erstes: sie kriegen Direct Messages mit offensichtlich spammigen Inhalt. Meist mit einem Neugier weckenden Satz und einem Link zu einer dubiosen Website, die sich als Twitter oder Facebook ausgibt und den Benutzer zum Einloggen überreden will.
Man sammelt damit Benutzerangaben für allerlei dreckige Geschäfte. Dumm ist dann, wenn Leute das gleiche Passwort verwenden an verschiedenen Orten. Hat man dann das Facebook-Login, ist es ein kleiner Schritt zum E-Mail-Login. Dann ist der Zug abgefahren, Mr. Gauner kann mit der Passwort-Vergessen-Funktion vielerorts einloggen.
Hier ein Beispiel eines faulen Direct Messages, das ich heute erhalten habe:
Klickt man auf den Link, kommt man über einen Umweg via Facebook zu folgender Website. Man beachte die Adresse oben. Nur weil es wie Facebook aussieht, heisst das noch lange nicht, dass es Facebook ist. Hier wird sehr offensichtlich ein Facebook-Login vorgegaukelt – ein Blick zur Adresse müsste genügen. Leider sind viele leichtgläubig, wenn das Logo stimmt und fragen sich nicht, weshalb das Facebook-Login hier auftaucht.
Web-Zugang nur noch mit Prüfung?
Hier müsste eine Diskussion starten, ob man den Web-Zugriff einschränken sollte auf Leute, die eine Art «Driving Licence»-Prüfung bestanden haben. Solche Angriffe gehen viral weiter und sind deshalb doppelt erfolgreich, weil man den Hackern Zugriff aus seine Freunde schenkt und diese so mit Vertrauensbeziehungen spielen können.
Bitte schenkt eure Twitter-Accounts nicht mehr jedem, danke.
Ich bin ja froh, haben wir eine Vielfalt an Menschen in der Web-Stadt. Was ich da zu Gesicht kriege – von PCs, die 24h/Tag auf Voll-Last fahren, fast nicht brauchbar sind, weil sie als Spam-Versand-Maschinen fungieren (und dem Besitzer das egal ist nach meinem Hinweis) bis hin zu leichtfertigem Klicken auf Twitter-Spamlinks und zulassen von Apps auf Facebook, Twitter und anderen Diensten. Da kommt bei mir schon der Wunsch auf, dass wenigstens minimale Web-Kenntnisse erforderlich sein müssten, bevor man eine Internet-Verbindung kriegt. Senioren müssen sich auch ärztlich überprüfen lassen, ob sie die Verkehrssicherheit auf der Strasse nicht untergraben.
Woher kommen faulen Direktnachrichten in Twitter?
Entweder hat jemand das Twitter-Passwort und loggt sich damit manuell auf Twitter.com ein, oder die «Hacker» benutzen die Twitter-Schnittstelle, um automatisiert ihre gekaperten Benutzerkontos anzuwerfen und darüber die Direktnachrichten (DM) zu versenden. In der Regel passiert Letzteres. Es geht um eine Maschinerie, die irgendwann von Twitter gestoppt wird, weil massenweise Hinweise auf Spam eingehen oder das Muster (immer ähnliche Sätze) vom System automatisch erkannt wird. Leider ist es für einige dann schon zu spät.
Wie haben die Gauner Zugriff erhalten?
Meist ist hier die Antwort: man hat ihnen den Zugriff erlaubt. Deshalb möchte ich eher nicht von Hacking sprechen. Man hat nur gefragt: «Was ist dein Twitter-Passwort?» und eine Antwort erhalten. Dazu braucht es keine Hacking-Kenntnisse. Es gibt mittlerweile viele Dienste, in die man sich direkt mit seinem Twitter-Account einloggen kann. Dabei muss man sich schon sicher sein, dass es sich um brave, vertrauenswürdige Dienste handelt.
Man kann sich die Liste der Tool, denen man Zugriff auf Twitter gegeben hat hier anschauen: Apps in Twitter. Diese Liste sollte man regelmässig bereinigen.
Eine andere Möglichkeit ist ein Virus oder Malware auf dem Computer. Solche Programme können Passwörter abhören. Nicht nur aus diesem Grund ist es wichtig, immer die aktuellsten Sicherheitsupdates für Software und Betriebssystem (Windows, MacOS etc.) einzuspielen.
Da man im oben erwähnten Beispiel Twitter-Spam einsetzt, um an Facebook-Logins zu kommen, sollte man sich bewusst sein, dass alle Online-Dienste sicher sein sollten. Wir leben in einer vernetzten Welt und ein Sicherheitsloch an einem Ort führt dazu, dass an anderen Stellen die Sicherheit nicht mehr gewährleistet ist. Unbedingt starke Passwörter verwenden und nicht dasselbe Passwort an mehreren Orten.
Zugriff durch Apps überprüfen
Hier eine kleine Zusammenfassung der Sicherheitseinstellungen für Apps, die Zugriff auf die verschiedenen, gösseren Dienste haben:
- Twitter: Apps mit Zugriff
- Facebook: authorisierte Apps
- Google: authorisierte Sites, Apps und Dienste
Wer Gmail oder andere Google-Dienste verwendet, sollte «2-Step-Authorization» unbedingt einschalten. Mehr Infos dazu gibt es hier. Da sollte man sich die paar Minuten schon nehmen dafür.
Aufpassen beim Klicken und Einloggen
Ich habe mit Sicherheitsvorkehrungen auf den Link in der oben gezeigten Direktnachricht geklickt. Ungeübten Nutzern empfehle ich das aber ausdrücklich nicht.
Wenn eine DM in einer «falschen» Sprache kommt, die nicht zum Versender passt: löschen. Nicht veröffentlichen – man startet so ein neues Sicherheitswurmloch. Wenn eine Direktnachricht wenig (Neugier weckende) Infos beinhaltet und einen Link: vorsichtig sein, löschen. Da muss man Instinkt aufbauen. Nicht klicken wenn unsicher! Wenn eine Login-Maske erscheint, ob Facebook oder Twitter oder sonstwas: immer die Adresse oben im Browser überprüfen!
Wichtig: starke Passwörter verwenden. Sie dürfen nicht aus einem Wort bestehen. Dasselbe Passwort nicht mehrmals verwenden. Insbesondere nicht ausserhalb der «sicheren Dienste». Google, Twitter und Facebook sind meiner Meinung nach sehr sicher, wenn man sich etwas im Griff hat. Überrascht wird man aber auch von seriösen Diensten wie letzthin LinkedIn, die plötzlich Millionen von Passwörtern «verlieren».
Was tun, wenn der Twitter-Account gehackt wurde?
- Passwort ändern
- Passwort in allen anderen Diensten ändern, wo man dasselbe verwendet hatte
- Die obigen «Authorisierte Apps» Links durchschauen und unbekannte Apps entfernen
- Versendete DMs löschen
Passwortsicherheit überprüfen
Zum Schluss als kleiner Test, ob die Problematik verstanden wurde: auf der Website Is My Twitter Password Secure? überprüfen lassen, ob man ein genug sicheres Passwort gewählt hat. Einfache Wörter und Namen sind nie sicher!
Für Ergänzungen in den Kommentaren bin ich dankbar. Man kann da auch sein Twitter-Passwort eintragen und ich überprüfe sie Sicherheit des Accounts – NOT!
Ein paar «normale» Twitter-Tipps
Du willst erfahren, wie du Twitter auch sonst besser nutzen könntest? Lies meine 9½ praktische Twitter-Tipps und lade die dazugehörige Checkliste herunter. Ich bin sicher, du wirst den einen oder anderen Trick lernen, den du bisher nicht kanntest. Hier geht’s zu den Tipps!
3 Responses
Guter Artikel, vor Allem auch weil diverse Möglichkeiten wo heute genutzt wurden genannt sind.
ABER:
Der Besitzer der Domain http://www.ismytwitterpasswordsecure.com ist Unbekannt und lässt sich von einer Firma «verstecken». Twitter registriert die eigenen Domains auf ihren Namen…
Ratest du wirklich an, seine Accountdaten auf dieser Seite zu versuchen ob diese sicher sind?
Das halte ich für ein sehr grosser Schwachsinn.