Der Social Footprint erleichtert Cyberkriminellen die „Arbeit“
Den Lebenslauf auf Linkedin, das Partyleben auf Flickr: Die Kombination von Informationen aus Social-Media-Profilen einzelner Nutzer eröffnet Cyberkriminellen neue Angriffsflächen.
Schon längst ist bekannt: Das freizügige Preisgeben von Informationen und das bisweilen naive Verhalten auf sozialen Netzwerken ist nicht immer risikofrei. Cyberkriminelle nutzen die Plattformen zunehmend für ihre Aktivitäten: Ein Beispiel ist die Kombination von Social Engineering und Lifejacking auf Facebook, die in diesem Frühjahr besonders grassierte.
Auch andere bekannte Plattformen blieben nicht verschont: Bei Twitter gaben zuletzt Phishing-Attacken zu reden, bei Linkedin Spammeldungen. Doch während die geschilderten Vorfälle vorwiegend isoliert auf einer Plattform stattfanden, werden "dank" der wachsenden Anzahl Profile auf immer mehr verschiedenen Plattformen Attacken auf Nutzer zunehmend einfacher.
Wie ein Puzzle
Wer gezielt jemanden „Ausspionieren“ will, kann sich heute mit relativ einfachen Mitteln ein Puzzle zusammenstellen. Dies schreibt das Magazin „Internet Computing“ des Institute of Electrical and Electronics Engineers (IEEE) in seiner Ausgabe zum Thema „Security and Privacy in Social Networks“.
Forscher der University of Georgia und des Georgia Institute of Technology haben den „Social footprint“ von 8200 Profilen benutzt um testweise „Identification Attacks“ sowie „Password-Recovery-Attacks“ zu fahren. Ein Ergebnis: Während der Angreifer den Namen einer Person „dank“ drei Plattformen mit fast 100 Prozent Wahrscheinlichkeit feststellen kann, sieht es beim Heimatort schon deutlich schwieriger aus. Hier reichen neun Plattformen nur für eine Wahrscheinlichkeit von etwas über 60 Prozent.
Seriös hier, hip dort
Mit unterschiedlichem Aufwand lassen sich Name, Wohnort Geschlecht, Geburtsdatum, Heimatort und Beziehungsstatus mithilfe des Durchforstens verschiedener Plattformen herausfinden. Erleichtert wird dies nicht zuletzt auch durch den Umstand, dass nicht alle Plattformen gleich restriktive Datenschutzrichtlinien haben.
Besonders häufig in die Falle tappen Nutzer bei der Sicherheitsfrage, um das Passwort wieder herzustellen. Der Angreifer braucht in vielen Fällen nur die Social-Media-Profile einer Person zu durchforsten, um dort beispielsweise den Namen des Hundes herauszufinden.
Insgesamt spielt den möglichen Angreifern in die Hände, dass kaum jemand „nur“ auf einer Plattform aktiv ist. Selten wird das gleiche preisgegeben, was die Kombination der verschiedenen Angaben umso interessanter macht: Einmal kommt Person X ein bisschen herausgeputzer für Business daher, dann ein bisschen hipper bei den „Freizeitgspänli“.
Ingram Micro wird Opfer eines Ransomwareangriffs
KI stellt Googles Klimaschutzziel auf die Probe
Wie die BKB mit ADOGRC neue Standards in der Compliance setzt
Swiss Retail Federation reicht Anzeige gegen Twint ein
Die "Eislutschka"-Saison kann kommen
ICT Day und Roadshow 2025, Zürich
Microsoft GSA – eine neue Ära für sicheren Zugriff auf Firmenressourcen
Unternehmen der Glue-Gruppe fusionieren
Digital vernetzt, ganzheitlich gesichert: Wie die BKB mit ADOGRC neue Standards in der Compliance setzt
