Risiko soziale Netzwerke

Einführung

Heutzutage nutzt jeder, der sich halbwegs mit Computern auskennt, auch soziale Netzwerke. Egal ob Chef, Nachbar, Freund oder Freundin, alle sind über mindestens ein Social Network erreichbar. Bei diesen Plattformen sind zwar unzählige Personen registriert, doch nur die wenigsten schützen ihre persönlichen Daten. Deshalb fühlen sich auch Cyberkriminelle dazu eingeladen, mit den ahnungslosen Nutzern schnelles Geld zu verdienen.

Die Bedrohungen in sozialen Netzwerken reichen von simplen Spam-Werbenachrichten in den Postfächern bis zu raffinierteren Betrugsmaschen. Diese sind darauf ausgelegt, Login-Daten und Kontoinformationen zu stehlen oder sogar die Computer mittels Backdoor-Angriffen zu infizieren. Den Nutzern droht der Verlust ihrer privaten Daten oder sogar ihres Geldes. Jeder User sollte sich außerdem unbedingt bewusst machen, dass er nicht nur sich selbst in Gefahr bringt, wenn er auf einen Internetbetrüger hereinfällt, sondern auch alle Personen in seinem Umkreis, insbesondere die in den Freundeslisten aufgeführten Personen. Für die eigene Sicherheit sollten Anwender deshalb einige grundlegende Regeln beachten und die Wachsamkeit ihrer Freunde schärfen!

Angriff auf Freundeslisten: Phishing von Kontodaten

Eine der technisch weniger gefährlichen Sicherheitsbedrohungen in sozialen Netzwerken besteht darin, die Login-Daten der Nutzer „abzufischen”. Ebenso wie bei Online Banking-Betrügereien oder gefälschten IRFS-Nachrichten erstellt der Angreifer eine mit der Login-Seite des ausgewählten Social Network identische Webseite. Anschließend verschickt er entweder via E-Mail massenweise einen Link zu der gefälschten Seite oder versendet eine scheinbar direkt von dem Social Network stammende Nachricht.


Abb. 1: Facebook-Phishing-Seite

Es versteht sich, dass die Funktion dieser Seite nur darin besteht, den ahnungslosen Nutzer zur echten Social Networkseite zurückzuleiten, nachdem er zuvor seine Login-Daten eingegeben hat. Die so erhaltenen Login-Informationen kann der Angreifer dann für verschiedene illegale Zwecke verwenden:

  • Verkaufen der Login-Daten auf dem Schwarzmarkt
  • Anhand des Profils weitere Informationen über die angegriffene Person sammeln
  • Vom kompromittierten Konto aus weitere Spam-Nachrichten über die Plattform des sozialen Netzwerkes versenden

Hat sich ein Betrüger erst einmal Zugang zum Konto des Anwenders verschafft, macht er sich dessen Netzwerk-Kontakte zunutze. So kann er beispielsweise dessen Identität annehmen und Nachrichten unter dessen Namen an seine Freundesliste schicken. Der Angreifer kann dabei auch das Vertrauen der Freunde ausnutzen und diese dazu bringen, einen bestimmten Link zu öffnen. Das gibt dem Betrüger die Möglichkeit, ein Schadprogramm zu installieren oder die Freunde davon zu überzeugen, ihre Login-Daten auf einer Phishing-Seite einzugeben.

Zum Glück sind derartige Angriffe relativ leicht zu erkennen, da die gefälschten Login-Seiten im Allgemeinen nicht über ein gültiges SSL-Zertifikat verfügen und der Domain-Name normalerweise in irgendeiner Weise fehlerbehaftet ist. Allerdings neigen Nutzer ohne entsprechendes Sicherheitsbewusstsein häufig dazu, die Warnhinweise zu ignorieren, da sie zum Beispiel zu beschäftigt damit sind, ein „witziges Bild” an ihre Freunde zu senden. Die Betreiber von sozialen Netzwerken wie Facebook bemühen sich allerdings redlich, in den Nutzern ein Bewusstsein für diese leicht erkennbaren Angriffe zu wecken und informieren sie im Allgemeinen über bekannte Gefahren.

Preisgabe von Login-Daten ohne Phishing

Gegen Online-Bankgeschäfte gerichtete Bedrohungen sind auch der Ursprung für eine andere Angriffsmethode, mit der Nutzer von Social Network-Plattformen zunehmend konfrontiert sind: die sogenannten Passwort Stealer. Diese Programme speisen Teile ihres Codes in den Browser des Anwenders ein, um dessen Kontoinformationen zu stehlen, noch bevor sie über das Netzwerk versendet werden. Davon betroffen sind hauptsächlich der Internet Explorer sowie gelegentlich auch Firefox.

Da der Datenklau komplett innerhalb des Browsers abläuft, bietet die SSL-Verschlüsselung zwischen Computer und Website dem Nutzer keinerlei Sicherheit. Die Webseite des sozialen Netzwerks präsentiert ein gültiges SSL-Zertifikat und der Browser die dafür korrekten Indikatoren. Folglich sind diese Angriffe weitaus schwieriger auszumachen als simple Phishing-Attacken. Da es sich bei einem Passwort Stealer um ein lokal auf dem Anwender-Computer installiertes Schadprogramm handelt, bietet eine möglichst aktuelle Antiviren-Lösung den besten Schutz.

Sobald ein Angreifer die Daten erfolgreich an sich gebracht hat, wird er höchstwahrscheinlich fortfahren, Links an die Kontakte des Bestohlenen zu versenden, bei deren Anklicken der Passwort Stealer sich ebenfalls auf deren Computer installiert. Diese Methode führt zu einer explosionsartigen Ausbreitung des Schadcodes:


Abb. 2: Ausbreitung eines Passwort Stealers [PWS] in sozialen Netzwerken

Die meisten Nachrichten, die mittels Identitätswechsel (Impersonation) versendet werden, enthalten eine Social-Engineering-Komponente, mit der das Opfer (d.h. der Nachrichtenempfänger) zu einer bestimmten Webseite gelockt oder dazu gebracht werden soll, ein Programm auf seinen Computer herunterzuladen. Auch wenn sich Ihre Freunde vielleicht nicht von der Notwendigkeit einer guten Antiviren-Software überzeugen lassen, können Sie Ihnen zumindest erklären, dass sie von Freunden gesendeten Links nicht trauen dürfen. Da Angriffe dieser Art von Maschinen generiert sind, ist es eine kluge Vorsichtsmassnahme, direkt bei seinen Freunden nachzufragen, ob sie den Link auch wirklich geschickt haben.

Eine bedeutende und weit verbreitete Malware-Familie, die mit der beschriebenen Methode arbeitet, ist die Koobface-Familie (ein Anagramm von Facebook). In deren Fokus stehen nicht nur ein, sondern mehrere soziale Netzwerke:

  • Facebook
  • MySpace
  • Hi5 Networks
  • Bebo
  • … und viele weitere, je nach der Variante des Wurms

Erwischt von einem Drive-By

Manchmal genügt bereits der Besuch einer schädlichen Webseite, damit sich Malware unbemerkt auf dem Computer eines Anwenders installiert. Dafür verantwortlich sind Sicherheitslücken im Browser, die mitunter zur willkürlichen Ausführung von Code führen können, sogar dann, wenn Java(Script) und Flash deaktiviert sind! Wird diese Seite von einem angreifbaren Browser aufgerufen, ist eine Infektion quasi unumgänglich, sofern kein aktueller Antiviren-Schutz vorhanden ist. Allerdings muss es dem Angreifer erst einmal gelingen, den Besucher auf eine derartige Seite zu locken. Eine Methode ist der bereits beschriebene Missbrauch der Netzwerk-Kontakte durch das Versenden von Nachrichten, die angeblich vom Nutzer selbst stammen, stattdessen aber auf die Webseite des Angreifers führen.


Abb. 3: Code-Ausführung im Internet Explorer

Eine kürzlich aufgetauchte Betrugsmasche ist das Überschwemmen von Twitter mit Spam-Nachrichten und das Posten von Kommentaren auf Blogger-Webseiten. In diesen Kommentaren befinden sich Links zu schädlichen Webseiten. Vor allem auf Twitter kommentierten die Angreifer die aktuellsten Meldungen des Tages und fügten ihren Beiträgen Links zu ihren schädlichen Seiten hinzu. Twitter hat ein zu Fernsehkanälen ähnliches Konzept, bei dem bestimmte Themen mit einem Rautenzeichen gekennzeichnet sind.

Weil die Länge von Mitteilungen auf Diensten wie Twitter stark limitiert ist, erfreuen sich URL-Verkürzungsdienste großer Beliebtheit. Die meisten dieser Dienste bieten keine Vorschau der URL an, zu der die Anwender letztendlich geleitet werden. Daher können sich Angreifer ohne weiteres hinter einem teilweise vertrauenswürdigen Namen wie dem des URL-Verkürzungsdienstes verbergen und dadurch die Breite des Angriffes weiter erhöhen.

Wem kann ich meine Daten anvertrauen?

Plattformen wie Facebook autorisieren Third-Party-Entwickler allzu oft, dem sozialen Netzwerk und damit auch den Nutzerprofilen ihre eigenen „Applikationen“ hinzuzufügen. Diese Applikationen erhalten dann häufig unbeschränkten Zugang zu den persönlichen Daten der Anwender und den in ihrem Profil abgelegten Informationen. Der Anwender muss sich damit einverstanden erklären, seine persönlichen Daten freizugeben und oft kann er die Freigabe auf spezifische Daten begrenzen. Aber ein Schadprogramm wie zum Beispiel ein Trojaner, der sich cleverer Social-Engineering-Methoden bedient kann einen Anwender ohne weiteres dazu bringen, seine persönlichen Daten nahezu vollständig offen zu legen.

Zum Glück haben Unternehmen wie Facebook diese Problematik inzwischen erkannt und überprüfen daher alle Applikationen manuell, bevor diese über ihr Netzwerk verteilt werden dürfen. Aber da sie wie alle Unternehmen nur über begrenzte Ressourcen verfügen und derzeit fast 50.000 Drittapplikationen über Facebook erhältlich sind, fällt die Überprüfung nicht bei allen Programmen so gründlich aus wie es eigentlich erforderlich wäre. Also kann es einem Anwender durchaus passieren, dass er eine „Das Bild des Tages“-Applikation aktiviert, die zwar täglich ein schickes Foto präsentiert, im Hintergrund aber auf alle seine persönlichen Daten zugreift. Die traurige Wahrheit ist, dass die Urheber derartiger Applikationen jederzeit einen Backdoor einbauen können, der JavaScript von einem Drittserver lädt und letztlich die gesamten persönlichen Daten stiehlt. Geht der Angreifer geschickt vor, kann die Applikation das wachsame Auge der Facebook-Analysten durchaus unbemerkt passieren!

Die zuletzt beschriebenen Angriffsmethoden sind für den Durchschnitts-Nutzer nur sehr schwer zu erkennen, da sich Applikationen von Drittanbietern durch ihr Erscheinungsbild und ihre Funktionalität fast vollständig in die vertrauenswürdige Seite des sozialen Netzwerkes einfügen. Oft bietet auch eine Antiviren-Lösung hier keinen Schutz, da Drittapplikationen serverseitig auf dem Facebook-Netzwerk laufen. Daher ist es auf jeden Fall die Aufgabe der Social-Network-Betreiber, diesen Bedrohungen entgegenzuwirken.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.