Sophos warnt vor Spionagegefahr
Viele Web-2.0-Surfer geben private Daten arglos an Unbekannte weiter
Virenjäger Sophos warnt vor allzu leichtfertigem Umgang mit persönlichen Daten in Online-Communities. Social Networks wie Stayfriends.de, Lokalisten.de oder Wer-kennt-wen.de sowie Linked-in oder Xing im Busines-Umfeld gehören zu den meistgenutzten Web-2.0-Angeboten. Allerdings bergen diese Angebote die Gefahr, dass Angreifer dort wertvolle Informationen finden - zum Beispiel Name, Telefonnummer, E-Mail-Adresse oder Hobbys - um Social-Engeering-Angriffe zu verfeinern.
Erst kürzlich stellte E-Mail-Dienstleister Messagelabs eine starke Zunahme ganz gezielter E-Mail-Spionageangriffe auf Topmanager von Unternehmen fest. Diese Spear-Phishing-Attacken richten sich sogar gegen Familienangehörige. Mit persönlich zugeschnittenen E-Mails wurde dabei versucht, Firmen- und Familien-PCs mit Spionage-Trojanern zu infizieren, um so an wichtige Firmendaten zu gelangen.
Gerade Web-2.0-Communities machen den Angreifern diese Arbeit leicht, mahnt Christoph Hardy, Security Consultant bei Sophos: "Um in Online-Communities alte Schulkameraden zu finden, neue Freundschaften zu schließen oder berufliche Kontakte zu knüpfen, wirft so mancher Nutzer jegliches Misstrauen über Bord und offenbart Wildfremden vertrauliche Informationen. Dass sich hinter dem vielversprechenden neuen Geschäftspartner auch ein krimineller Hacker oder Spammer verstecken kann, scheinen die wenigsten zu bedenken."
Um dies zu belegen, hat Sophos sich im englischsprachigen Onlinenetzwerk Facebook unter dem frei erfundenen Namen Freddi Staur registriert. Als Profil hinterlegte man lediglich das Foto eines kleinen, grünen Frosches sowie einige wenige Daten. Um zu erfahren, wie Surfer auf die Anfrage eines unbekannten Absenders antworten, sendete Sophos daraufhin Anfragen an 200 willkürlich ausgewählte Facebook-Nutzer. Das Ergebnis: 41 Prozent antworten auf die Kontaktaufnahme und gewährten Freddi den Zugriff auf ihre in Facebook hinterlegten persönlichen Informationen. 72 Prozent derer, die auf die Anfrage geantwortet hatten, gaben mindestens eine E-Mail-Adresse preis, 84 Prozent ihre vollständigen Geburtsdaten, und 87 Prozent stellten detaillierte Informationen zu ihrer Ausbildung und ihrem Arbeitsplatz bereit.
Hardy: "Es ist erschreckend zu sehen, wie leicht es ist, im Internet an persönliche Daten zu gelangen. Wäre Freddi ein Cyberganove, hätte er jetzt alle Informationen, um die Anwender gezielt anzugreifen."
Um nicht Opfer gezielter Datenspionage zu werden, sollten Mitglieder sozialer Netzwerke bei Kontaktanfragen von Unbekannten daher besonders wachsam sein und sich erst erkundigen, mit wem sie es zu tun haben. Unternehmen sollten zudem Richtlinien zur beruflichen Nutzung von Onlinenetzwerken definieren und geeignete Sicherheitslösungen installieren.
Liegen diese Infos bislang in den diversen Seiten, Foren und Communites noch relativ verstreut vor, so öffnet der gerade in den USA gestartete Dienst "Spock" eine ganz neue Dimension. Als "Single Point of Contact and Knowledge" (Spock) will er alle Infos zu einer Person aus dem Netz zusammentragen und bedient sich dabei öffentlichen Quellen wie Wikipedia, Nachrichtenartikeln, Websites von Personen oder Firmen sowie vor allem sozialen Netzwerken wie Myspace, Linked-in oder Facebook. Gerade die Angaben in den einschlägigen Onlinegemeinschaften dürften dabei ein reiches Futter für die virtuellen Agenten von Spock.com darstellen. Die Daten werden vom Spock gewichtet und verschlagwortet. Als Suchergebnis gibt es dann pro Person eine kurze Zusammenfassung mit biographischen Daten sowie Bildern und anderer Content, den mitteilungsbedürftige Surfer im Web 2.0 verteilen. Allzu persönliche Daten wie Adresse oder Telefonnummer werden aber wohl aus Datenschutzgründen nicht angezeigt. Registrierte Benutzer können zudem das eigene Profil verfeinern – aber auch die Angaben anderer Personen. Mit dem Angebot reagieren die Spock-Protagonisten nach eigenen Angaben auf ein wachsendes Bedürfnis der Surfer: 30 Prozent aller Internet-Suchanfragen seien personenbezogen.
CZ/ab
Lesen Sie mehr zum Thema
