Sonstiges

Twitter setzt auf Sicherheit – und scannt hierzu die Direktnachrichten

Es ist wohl keine allzu große Übetreibung zu behaupten, dass Twitter mit zu den Hauptumschlagsplätzen für URLs gehört, sowohl verkürzte als auch normale. Bei Ersteren war man in Bezug auf deren Sicherheit auf Gedeih und Verderben der Sorgfalt der Shortener-Dienste ausgeliefert, bei letzteren auf die Aufmerksamkeit der User. Zumindest war das bisher so. Seit der letzten Phishing-Attacke, bei der Twitter-User eine Nachricht mit dem Text „This you????“ und einem Link in der Form http://www.hurl.ws/XXXX erhielten und damit auf eine gefakte Log-in-Seite gelotst wurden (zur Erinnerung), hat Twitter genug von den Spirenzien. Wie der Microblogging-Dienst auf seinem Blog aktuell verkündet, werden ab sofort alle von Usern verschickten Direktnachrichten – die Twitter als die größten Spam-Schleudern ansieht – umgeleitet und die darin enthaltenen Links geprüft.

Mit diesem neuen Service will Twitter Phishing-Versuchen und ähnlichen Cyber-Attacken den Riegel vorschieben. „Indem wir alle an Twitter gesendeten Links auf diesen neuen Service umleiten, können wir schlechte Links erkennen, abfangen und ihr Ausbreitung auf Twitter verhindern. Selbst wenn ein schlechter Link bereits in einer Mail-Benachrichtigung verschickt wurde und von jemandem angeklickt wird, werden wir imstande sein, den User zu schützen.“

Keine Chance für Phishing


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Es kann angenommen werden, dass Direktnachrichten tatsächlich am anfälligsten für Phishing-Links sind, da man als Empfänger den Sender der Nachricht in der Regel kennt und ihm vertraut. Ähnliches kennt der eine oder andere ja bereits von verseuchten Sofortnachrichten aus dem Instant Messenger. Ich bin da auch schon mal auf sowas reingefallen. Einen „verifizierten“ Link in Direktnachrichten oder E-Mails erkennt ihr übrigens an der Form „twt.tl“, sonst ändert sich nichts. Ich habe das vorhin mal ausprobiert, das Resultat sehr ihr oben.

Eine anderer Grund für die Beschränkung könnte aber sein, dass Twitters Infrastruktur schlicht und ergreifend (noch) zu schlecht ist, als dass alle getwitterten Links überprüft werden könnten – und dazu noch in Realtime. Der Dienst kracht ja so schon häufig genug unter der Last der Tweets zusammen. Sobald Twitter ein Monetarisierungsmodell findet, das genug Geld abwirft oder ein Investor sich (nochmal) erbarmt, wird die Überprüfung der Links in allen Tweets eine denkbare und von Usern sicherlich gern gesehene Option. Obwohl…

So ganz ohne Schattenseite ist der Service bereits in seiner jetzigen Form nicht. Letztlich heißt es nämlich nichts anderes, als dass Twitter nun den kompletten „Durchblick“ hat. Natürlich werden die meisten Tweets von ihren Verfassern nicht extra geschützt, so dass faktisch jeder auf die Links klicken und sich die dahinter liegende Seite angucken kann. Dies gilt aber nicht für Direktnachrichten.

Kommt ein eigener URL-Shortener?

Spinnt man den Faden vorsichtig mit einer heißen Nadel weiter, ergibt sich folgendes Bild: Twitter erhält durch das Scannen der direkt verschickten Nachrichten und der dazugehörigen Links aufschlussreiche Informationen sowohl über Sender und Empfänger der Nachricht, als auch über den Kontext, in den der Link eingebunden ist. Erinnern wir uns an die Ankündigung, dass die künftig geschaltete Werbung für den User „passend und nützlich“ sein wird und er „sie nicht als Werbung empfindet“, so könnte ich mir gut vorstellen, dass Twitter mit dem „neuen Service“ mehr plant, als die bloße Spam-Bekämpfung. Na, und wer will sich schon beschweren, wenn er „gesäuberte“ Links bekommt und Twitter im Gegenzug irgendwo Werbung platziert.

Und eine Frage drängt sich mir in diesem Zusammenhang noch auf: Könnte der „neue Service“ das Ende von bit.ly und Co. einläuten? Wie naheliegend wäre es für Twitter, einen hauseigenen Shortener einzuführen, der den Usern zudem das Gefühl gibt, dass die Links überprüft werden, bevor sie den Empfänger erreichen? „Spam sucks.“ So treffend hat es seinerzeit der (quasi Twitter-Haus- und Hof-) URL-Shortener bit.ly selbst formuliert und zum hochgerüsteten Kampf gegen Spammer geblasen. Die Web-Kriminellen hatten den Dienst nämlich etwas zu lieb gewonnen und konnten mittels der gekürzten URLs ihre bei Filterprogrammen oft bereits bekannten Seiten verschleiern und sie so an deren Sperren vorbeimogeln konnten. Zudem können User nicht (unmittelbar) erkennen, auf welcher Seite sie landen, wenn sie einer Kurz-URL folgen. Wie ich damals auch schon anmerkte, funktioniert dies bei „normalen“ Internet-Adresse auch nicht immer (siehe obiges Phishing-Beispiel), der Nachteil für den Shortener ist aber mitunter ein sinkendes Vertrauen des Users in den Dienst. Oder eine Seite wie Twitter.

Nun müßte sich Twitter aber nicht mehr auf die Sicherheitsmaßnahmen Dritter verlassen. Und ein altes Kredo heißt: mach alles selbst, was du selbst machen kann. Warum also nicht?

(Marek Hoffmann)

facebook-fan

Über den Autor

Marek Hoffmann

Marek Hoffmann hat von 2009 bis 2010 über 750 Artikel für BASIC thinking geschrieben und veröffentlicht.

15 Kommentare

  • Ich denke das ist nur ne Frage der Zeit bis die Dienste von bit.ly, tiny.url & co nicht mehr benötigt werden! Twitter hatte doch meines Wissens auch schon angekündigt das sie einen eigenen URL-Shortener entwickeln…

  • Wirr.
    Wirr.
    Wirr.

    Man könnte auch einfach das tun, was z.B. Buzz macht, und das URL-Shorten überflüssig machen, indem man die unsinnige Längenbegrenzung erhöht oder abschafft. Aber Twitter stagniert lieber vor sich hin – und wird von Buzz rechts und links gleichzeitig überholt.

  • Klingt sehr plausibel, das mit dem URL-Shortener. Mir wäre es allerdings lieber, 140 Zeichen als Message zur Verfügung zu haben und den URL separat einzusteuern. Da spricht nichts für einen shortener. Und der User kann zumindet sehen, wohin die Reise geht. Gescannt werden kann dort und da.

  • Ich halte auch nix von URL-Shortenern und sehe mir die Links lieber an, bevor ich klicke. Kann gut sein, dass ich den Inhalt schon kenne und mir den Klick spare.

  • Und ein eigener Dienst würde nicht nur der Sicherheit dienen, sondern eben ja auch ein weiterer schritt sein einen größeren teil des kuchens zu bekommen.

    denen müssen diese ganzen shortener doch ein arger dorn im auge sein.

    deswegen mag ich power twitter so gerne, damit sieht man direkt die auflösung der short-links und kann prima entscheiden ob man klickt oder eben nicht..

    deswegen nie mehr ohne:
    http://www.meinungs-blog.de/nie-wieder-ohne-power-twitter

  • Ein weiteres Tool wäre z.B. „Long URL please“, aber ich muss mir wohl jetzt auch mal das Power-Twitter-Tool installieren und testen…

  • Finde auch, das Twitter einfach bei Links die Zeichenbegrenzung ignorieren sollte, sprich du hast 140 Zeichen für Text und die URL kann 10 Stellen oder 250 Stellen haben. So wäre das alles viel leichter…

    URLs sind ja mit … kürzbar

  • Stimme euch zu, was die Abschaffung der Begrenzung angeht. Der Punkt ist allerdings der, dass man auch vermeintlichen normalen, ungekuerzten URLs nicht ansehen kann, ob sie „sauber“ sind. Somit ist der Service, den Twitter da anbietet, durchaus sinnvoll. Stellt sich nur die Frage, welchen Preis der USer und womoeglich andere Shortener-Dienste dafuer zahlen muessen.

    @Matthias: Ich habe in anderem Zusammenhang schon darueber geschrieben, dass Twitter doch langsam anfangen muss, die Kohle selbst zu verdienen, die andere bisher an Twitters Stelle einsacken. Wenn’s dich interessiert: https://www.basicthinking.de/blog/2010/03/01/neue-web-features-twitter-sagt-tweetdeck-tweetie-twhirl-und-co-den-kampf-an/

  • kurze urls sind nicht per se schlecht, man müsste nur bekannte seiten in eigene verzeichnisse aufnehmen, sodass man bereits beim lesen weiß, auf welche seite die kurzurl führt. z.b.: url.com/tw/* für twitter, url.com/yt/* für youtube, url.com/gg/* für google groups, url.com/sd/* für slashdot, … dann kann man schonmal viele oft verLinkte ziele zusammenfassen, und somit eine art whitelist aufbauen.

    CU TOM

  • […] Und zuletzt noch eine Frage: Wie sind die Änderungen beziehungsweise ihr Veröffentlichungszeitpunkt einzuschätzen? Will Bit.ly damit “nur” userfreundlicher werden oder wird versucht, sich für eine mögliche Übernahme “wertvoller” zu machen? Google und Twitter hatten ja offenbar schon an die Tür geklopft. Oder geht es darum, etwas zu schaffen, was Twitter nicht so eben mal selbst nachbauen kann? Ein erster Schritt seitens des Microblogging-Dienstes wurde ja bereits getan.   […]

  • Also betrachtet man den letzten Vorfall, dann können sie ja so doll nicht aufpassen. Ich konnte Twitter gar nicht mehr nutzen weil alles blockiert war. Aber naja was soll’s. jeder macht mal Fehler 😉