Siegt die Neugier des Nutzers über den Sicherheitsgedanken? Dies fragte sich Virenschutz-Experte Bitdefender und testete im Zuge eines Experiments, wie Social-Media-User mit verkürzten Links („Short URLs“) umgehen. Dazu postete der Security-Spezialist über je einen gefakten Twitter- und Facebook-Account Short-Links, die den User auf Malware-verseuchte Webseiten geführt hätten. Zuvor hatte Bitdefender die Links jedoch unschädlich gemacht, um den Nutzer nicht zu gefährden. Gleichzeitig wurden die User gebeten, „tote“ Links zu melden. Anhand der Benachrichtigungen kam ein brisantes Ergebnis zustande: Von rund 2.000 Usern waren 97 Prozent unbedacht den manipulierten Links gefolgt und hätten sich im Normalfall mit gefährlicher Malware infiziert.
Für das vierwöchige Experiment legte Bitdefender auf den Social-Media-Plattformen Twitter und Facebook das gefakte Profil einer 30-jährigen Angestellten aus der Werbebranche an. Innerhalb von drei Wochen baute sich die fingierte Person einen Freundeskreis von insgesamt 1.928 Usern auf. Sie postete täglich drei sichere Links zu Neuigkeiten aus dem Bereich Security, dem Showgeschäft, wissenschaftlichen Erkenntnissen sowie Unglücksfällen.
Zudem begleitete eine Aufforderung das Posting: „Falls der Link nicht funktioniert, teilen Sie mir dies bitte mit, damit ich ein anderes Tool zur Linkverkürzung verwenden kann."
Manipulierte Links stellten die User auf die Probe
In der vierten Woche des Experiments stellte Bitdefender über die gefakten Profile Short-URLs ein, die eigentlich zu Malware-verseuchten Seiten führen würden. Damit die User zu keiner Zeit gefährdet waren, wurden die Links so verändert, dass sie nicht funktionieren konnten. Weiterhin bat die vermeintliche Account-Inhaberin um Benachrichtigung, falls der Verweis defekt sei.
An Hand der eingegangenen Rückmeldungen ließ sich ablesen, dass 97 Prozent aller User den eigentlich gefährlichen Links gefolgt waren. Somit hätten mehr als 1.800 Nutzer ihre Rechner mit Malware infiziert, sofern die URLs korrekt gewesen wären.
Short-URLs können zu bösartigen Webseiten führen
Insbesondere beim Microblogging-Dienst Twitter sind gekürzte Links üblich, da sie weniger Zeichen benötigen. „Die Verwendung von Short-URLs stellt hinsichtlich des Datenschutzes einen großen Nachteil dar", warnt Sabrina Datcu, Bitdefender E-Threat-Analytikerin und Autorin des Experiments. „Der User weiß nicht, was hinter dem Link steckt, da der URL-Name sehr kryptisch ist. Daher kann diese Art der Verknüpfung dazu missbraucht werden, ahnungslose Nutzer auf Malware-, Phishing- oder Spam verbreitende Seiten zu leiten."