Soziale Netzwerke sind für viele schon zur Routine geworden. Sie fügen sich mit Kaffeekochen und Zähneputzen in die Reihe unserer täglichen Gewohnheiten. Viele Menschen verbringen eine Menge Zeit mit Twitter, Linkedin, MySpace und Facebook - während ihrer Arbeitszeit am Rechner des Arbeitgebers.
Auf der diesjährigen Washingtoner Sicherheits-Konferenz ShmooCon 2009 führten zwei Sicherheitsforscher vor, warum dies aus vielen Gründen schlecht ist. Ihre Präsentation "Fail 2.0: Further Musings on Attacking Social Networks" verdeutlicht: Häufig sind die Seiten so beschaffen, dass Angreifer leichtes Spiel haben. Ohne viel Aufwand können Bilder, Text, Musik und andere Inhalte hochgeladen und getauscht werden. Unsere amerikanische Schwesterpublikation CSO hat über den Vortrag der beiden Experten berichtet.
"Das Prinzip der Sozialen Netzwerke lautet: Locke so viele Nutzer wie möglich auf deine Plattform. Wenn Angreifer sich auf solchen vielbesuchten Seiten zu schaffen machen, ist der ROI hoch", sagt Forscher Moyer.
Durch simple Tricks können Angreifer den Account einer Person auf einem sozialen Netzwerk sozusagen kidnappen und für ihre Zwecke einsetzen. Sie können damit Angriffe auf andere Nutzerseiten durchführen. Es ist auch schon vorgekommen, dass Soziale Netzwerke in Botnets eingebaut wurden. Auf diese Weise haben Hacker es schon geschafft, an die Handynummern Prominenter zu kommen.
Betrüger kommen auf jedes Profil
"Mit fast jeder Applikation kann man auf irgendeine Art eine andere Applikation attackieren", sagt Hamiel: Und erfügt hinzu: "Auch wenn Sie ihr Profil nicht für alle Nutzer zugänglich machen, kann es sie erwischen."
- Betrügerprofile auf Linkedin anlegen. Das geht so: Man tut so als wäre man jemand ganz anderes und freundet sich mit so vielen Menschen wie möglich an. Hamiel und Shawn haben es vorgemacht. Sie erstellten - mit dessen Genehmigung - ein Fake-Profil eines bekannten CSOs. Innerhalb eines Tages hatte er mehr als 50 hochkarätige Freunde.
- Alte Twitter-Nachrichten durchforsten. Bei der Kommunikationsplattform Twitter gelangten Hacker an Nachrichten, die nicht getwittert wurden, sondern direkt an Einzelne geschickt wurden. In solchen Nachrichten finden sich häufig Telefonnummern, E-Mail-Adressen und andere persönliche Informationen.
Den kanadischen Sicherheits-Experten James Arlen überrascht diese Entwicklung nicht: "Viel zu viele Menschen begegnen dem Internet fälschlicherweise mit Vertrauen", sagt Arlen. "Personen müssen sich in sozialen Netzwerken nicht authentisieren, das darf man nie vergessen."