Social-Network-Informationen ein Fest für Betrüger

22.10.2009 von Wilhelm Greiner.

Auf der RSA Conference Europe in London arbeitete Hugh Thompson, Chief Security Strategist bei People Security, in seiner ebenso informativen wie amüsanten Keynote (1A Communitainment, yay!) die Gefahren der heute weit verbreiteten, aber oft gedankenlos betriebenen Social-Media-Nutzung heraus. Den Anwendern sei noch viel zu wenig bewusst, welche Arten von Informationen man überhaupt öffentlich machen sollte - und welche eben nicht. Social Media und Social Networks eröffnen jedenfalls Hackern und Social Engineers einen umfangreichen, bequemen Informationspool.

Ausnutzbar seien hier, so Thompson, nicht nur der Anwender selbst, sondern auch redselige Zeitgenossen aus seinem Umfeld, die leichtfertig Daten herausgeben oder zumindest erschließbar machen, sowie der Umstand, dass im Web Gepostetes wie zum Beispiel Lebensläufe für eine praktisch nicht kontrollierbare Zeit erhalten bleibt.

Thompson führte deshalb den Begriff der “Gateway-Daten” ein: Daten, die für sich genommen harmlos erscheinen, aber listig ausgenutzt Zugang zu persönlichen Informationen und damit zu allen Arten von Online-Konten ermöglichen - entweder durch direkte Nutzung, durch Verstärkung (Amplification - laut Thompson “die neue Form des Social Engineerings”) oder durch Aggregation von Kollektivdaten (Collective Intelligence).

Direkt ausnutzen lassen sich laut Thompson personenbezogene Angaben, wie zahlreiche Menschen sie in Social Networks, Blogs, Twitter oder Lokalisierungsdiensten wie Loopd posten. Deshalb seien im heutigen Social-Media-Zeitalter Passwort-Reset-Fragen wie die nach dem Geburtsnamen der Mutter oder dem Lieblingsbuch “völlig widersinnig”.

Thompson erzählte die Anekdote von einem langweiligen Dinner, bei dem er den Test angeboten habe, innerhalb einer Stunde jeden kritischen Account der Anwesenden zu knacken. Drei Dinner-Gäste hätten eingewilligt, und bei zwei dieser drei Personen sei ihm der Zugang “zu allen wichtigen Online-Konten” gelungen.

Erleichtert wird das Leben der Betrüger laut dem Security-Spezialisten dadurch, dass “es meistens ein ‘goldenes’ E-Mail-Konto gibt, das alle anderen Konten als Default benutzen”.

Die “Verstärkung von Gateway-Daten” sind laut Thompson “die neue Insider-Bedrohung”. Gemeint ist in diesem Kontext das Sammeln verteilter personenbezogener Daten, was in der Summe eine “Pseudo-Personalisierung” von Angriffen erlaubt: Betrüger können für Phishing-Angriffe gezielt Häppchen privater Angaben nutzen, also zum Beispiel die Zielperson nicht nur mit dem richtigen Namen anreden, sondern auch mit korrekten Daten zu Wohnort, Arbeitsstätte und Freundeskreis. Es gibt, wie er am Beispiel demonstrierte, eine “enorme Reife der Glaubhaftigkeitsinfrastruktur, die Betrüger aufbauen”.

Ein großes Problem für Unternehmen sieht Thompson in Collective Intelligence, also im Abgleich unterschiedlichster (Web-)Informationsquellen mit dem Ziel des Social Engineerings oder der Wirtschaftsspionage. So könnten Neugierige zum Beispiel aus einer Häufung von Linkedin-Empfehlungen für Manager eines bestimmten Unternehmens schließen, dass das Unternehmen Probleme hat, und vielleicht dienen die vielen neuen Linkedin-Verbindungen zwischen Mitarbeitern der Firma X mit denen der Firma Y ja der Kontaktpflege im Vorfeld eines Mergers?

Die Unternehmen haben jedenfalls bislang noch keine Mittel und Wege gefunden, mit diesen neuen Gefahren umzugehen. Hier bietet sich ein weites Feld für Mitarbeiter-Sensibilisierung und Awareness-Kampagnen.

Jedoch sollte man nicht aus den Augen verlieren, dass Social Media nicht nur eine Gefahrenquelle darstellen, sondern sich selbst wiederum sehr gut eignen, um im Rahmen einer Awareness-Kampagne eine Diskussion anzustoßen und für ein hohes Maß an Interaktion zu sorgen.

Geschrieben in Social Software, Social Networks, Security Awareness | 1 Kommentar »