Bundesamt für Sicherheit in der Informationstechnik

G 5.158 Missbrauch sozialer Netzwerke

Soziale Netzwerke sind als Plattformen sehr erfolgreich und gewinnen immer mehr Mitglieder. Allerdings gibt es hier neben diversen Vorteilen auch Sicherheitsrisiken, die Benutzer nicht aus den Augen verlieren sollten:

  • Die in sozialen Netzwerken oder virtuellen Welten von einem Benutzer verwendete Identität ( z. B. Benutzerbeschreibung oder Avatar) steht meistens in einem engen Zusammenhang mit dessen realer Identität. Eine virtuelle Identität kann unter Umständen durch andere missbraucht werden, beispielsweise indem in dieser Rolle sozusagen unter falscher Flagge Aktionen durchgeführt werden, ohne dass der Inhaber dies weiß.
  • Benutzer sozialer Netzwerke geben eine Vielzahl von Informationen über sich bekannt, um in diesen Netzwerken wahrgenommen zu werden und mitwirken zu können. Je nach Intention des sozialen Netzwerks können dies Name und Foto des Benutzers, eine oder mehrere E-Mail-Adressen, Wohnort, Arbeitgeber, persönliche und berufliche Hintergründe sein. Diese Informationen sind für große Benutzergruppen zugänglich und der Benutzer hat keinen Einfluss mehr über deren Verbreitung.
  • Informationen über Benutzer können als Grundlage für Social Engineering Angriffe benutzt werden. Ziel solcher Angreifer ist es, möglichst viele Hintergrundinformationen zu erlangen, um sich das Vertrauen des Opfers zu erschleichen und es zu weiteren Handlungen zu überreden, beispielsweise bestimmte Dateien zu öffnen.
  • Vertrauliche Informationen könnten offengelegt werden, beispielsweise weil die Grundidee eines "sozialen Netzwerkes" enge Beziehungen und ein Vertrauensverhältnis zwischen den Teilnehmern widerspiegelt, das nicht immer gegeben ist.
  • Die über soziale Netzwerke zugänglichen Daten können zum geschickten Passwortraten benutzt werden. Typischerweise werden bereits bei der Anmeldung an solche Dienste Daten wie Geburtstag, Geburtsort, frühere Schulen, Universitäten und andere Wirkungsstätten angegeben, um interessante Kontakte herstellen zu können. Bei vielen Internet-Anbietern und Anwendungen ist es aber mittlerweile üblich, bei der Vergabe von Passwörtern auch direkt persönliche Informationen zu erfassen, die abgefragt werden, wenn jemand sein Passwort vergessen hat. So reicht es beim Telefon-Banking zur Authentisierung häufig aus, das korrekte Geburtsdatum zu kennen, welches über soziale Netzwerke einfach erfahren werden kann.

Beispiel

"Böser Zwilling": Ein soziales Netzwerk wurde von einem Daten-Phisher genutzt, in dem er ein gefälschtes Profil eines Prominenten erstellte. Aufgrund des öffentlich verfügbaren Bildmaterials und der raschen Erstellung einer authentisch wirkenden Webseite war es Besuchern des Online-Profils nicht ohne weiteres möglich, die Identität als Fälschung zu erkennen. Der Angreifer platzierte auf der Profilseite einen Link zu einem angeblichen Video. Tatsächlich führte dieser Link zu einer gefälschten Anmelde-Seite auf einem externen Webserver. Die ausgespähten Anmelde-Daten der Opfer legte der Angreifer in einer sogenannten Dropzone ab.
Das Ausspähen von Zugangsdaten eines sozialen Netzwerkes bedeutet für die Opfer in der Regel keinen unmittelbaren finanziellen Verlust. Geraten die Anmelde-Daten in die falschen Hände, kann jedoch ein Imageverlust die Folge eines durch die Phisher manipulierten Online-Profils sein. Der Angreifer hat im vorliegenden Fall keine Schwachstelle in der Webanwendung ausgenutzt. Diese Form der Phishing-Variante ist auf jeder Online-Plattform möglich, die keine Verifikation der Benutzeridentitäten vornimmt. Größeren Schaden als Profil-Manipulationen kann jedoch der Versand von Nachrichten innerhalb der Online-Plattform verursachen, in denen auf mit Schadsoftware präparierte Webseiten verlinkt wird. Aufgrund der Vertrauensbasis zwischen den Nutzern dürfte die Erfolgsquote für den Angreifer hoch ausfallen. Analog zu Phishing E-Mails gilt für soziale Netzwerke, zugesandten Links mit gesundem Misstrauen zu begegnen.

Stand: 12. EL Stand 2011