Heute ist mir etwas passiert, dass ich jetzt gleich blogge. Damit auch hier meine LeserInnen gewarnt sind.
Ein mir gut bekannter Mensch twitterte heute „Don´t klick“ gefolgt von einer URL. Nun, ich kenne diesen Menschen ganz gut und vertraue ihm. Also klicke ich auf den Link. Es erscheint eine Website. Diese ist leer und hat nur einen Button „don´t klick“ (soweit ich mich erinnern kann). Und jetzt sollte der gelernte Websurfer wieder in das weite Web gehen. Nein, ich habe geklickt. Nichts passierte. Also habe ich die Sache vergessen.
Bis mich ein anderer Twitterer darauf hinwies, dass ich wohl auch den Link gepostet hätte. Stimmt, in meinem Twitterfeed erscheint die gleich Nachricht (die ich jetzt gelöscht habe).
Natürlich können auch „böse“ Menschen Twitter für „böses“ nutzen. Aber Twitter hat auch viele Vorteile. So habe ich mein Erstaunen getwittert und um Hilfe gebeten. Kaum zwei Minuten kamen Rückmeldungen von „yatil“:http://twitter.com/yatil , „geraldbaeck“:http://twitter.com/geraldbaeck und „rtauchnitz“:http://twitter.com/rtauchnitz.
Das „baeckblog“ hat das Ganze „gut und verständlich erklärt“:http://www.baeck.at/blog/2009/02/12/twitter-und-der-dont-click-wurm/. Lest bitte dort nach. Wichtig ist, dass niemand mein Passwort dafür gestohlen hat oder sonst eine Sicherheitslücke in meinem Browser aufgetreten ist.
Weitere Links:
* Technischere Info bei „dsandler“:http://dsandler.org/outgoing/dontclick.html
* „heise online“:http://www.heise.de/newsticker/Twitter-Wurm-Don-t-Click-verbreitet-sich-im-Twitter-Space-Update–/meldung/132479
* Info im „Twitter Blog“:http://blog.twitter.com/2009/02/clickjacking-blocked.html mit dem Hinweis, dass solche „Hijacking“ Techniken ab nun geblockt werden.
Fazit: Immer ein wenig nachdenken, wenn man so seltsame Websites sieht. Ansonsten muss auch der jeweilige Diensteanbieter Schutzmaßnahmen setzen. Denn ohne den Quelltext der Website etc. sieht man nicht, was da wirklich abgeht.
Ich fand’s lustig – habe weniger die Sicherheitsebene im Auge gehabt als die Tatsache, dass wir offensichtlich nicht dem Hinweis „Don’t click“ folgen können. Gerade wenn wir jemandem vertrauen, sollten wir doch „eigentlich“ nicht klicken:)
Es kann eh nur passieren, wenn man Twitter über Webbrowser nutzt (glaube ich!). Passiert ist das Ganze beim Klick auf den Link, wenn ich das richtig verstanden habe, nicht beim klick auf den Button. Da war es also schon zu spät.
Das Problem ist nur, dass man damit natürlich noch schlimmere Sachen anstellen kann.
Ich hätte auch nicht so einfach geklickt, wenn es nicht der Tweet eines mir gut Bekannten gewesen wäre. Natürlich hat mich das „don´t klick“ noch dazu gereizt 😉
Soweit ich es verstanden habe, hat es erst der Button auf der Website ausgelöst.
Aber schauen wir mal ob es Berufenere als mich gibt, die das klären können.
@digiom: Nein, man musste den Button klicken, beziehungsweise den darüber liegenden iframe.
Letztlich war es eine tolles Experiment, man hätte natürlich noch viel mehr anrichten können, zum beispiel das Passwort auf einen zufälligen Wert setzen. Auf anderen Social Networks ist natürlich noch mehr Schaden anzurichten, man sollte also generell vorsichtig sein.