Der Social Footprint erleichtert Cyberkriminellen die „Arbeit“
Den Lebenslauf auf Linkedin, das Partyleben auf Flickr: Die Kombination von Informationen aus Social-Media-Profilen einzelner Nutzer eröffnet Cyberkriminellen neue Angriffsflächen.
Schon längst ist bekannt: Das freizügige Preisgeben von Informationen und das bisweilen naive Verhalten auf sozialen Netzwerken ist nicht immer risikofrei. Cyberkriminelle nutzen die Plattformen zunehmend für ihre Aktivitäten: Ein Beispiel ist die Kombination von Social Engineering und Lifejacking auf Facebook, die in diesem Frühjahr besonders grassierte.
Auch andere bekannte Plattformen blieben nicht verschont: Bei Twitter gaben zuletzt Phishing-Attacken zu reden, bei Linkedin Spammeldungen. Doch während die geschilderten Vorfälle vorwiegend isoliert auf einer Plattform stattfanden, werden "dank" der wachsenden Anzahl Profile auf immer mehr verschiedenen Plattformen Attacken auf Nutzer zunehmend einfacher.
Wie ein Puzzle
Wer gezielt jemanden „Ausspionieren“ will, kann sich heute mit relativ einfachen Mitteln ein Puzzle zusammenstellen. Dies schreibt das Magazin „Internet Computing“ des Institute of Electrical and Electronics Engineers (IEEE) in seiner Ausgabe zum Thema „Security and Privacy in Social Networks“.
Forscher der University of Georgia und des Georgia Institute of Technology haben den „Social footprint“ von 8200 Profilen benutzt um testweise „Identification Attacks“ sowie „Password-Recovery-Attacks“ zu fahren. Ein Ergebnis: Während der Angreifer den Namen einer Person „dank“ drei Plattformen mit fast 100 Prozent Wahrscheinlichkeit feststellen kann, sieht es beim Heimatort schon deutlich schwieriger aus. Hier reichen neun Plattformen nur für eine Wahrscheinlichkeit von etwas über 60 Prozent.
Seriös hier, hip dort
Mit unterschiedlichem Aufwand lassen sich Name, Wohnort Geschlecht, Geburtsdatum, Heimatort und Beziehungsstatus mithilfe des Durchforstens verschiedener Plattformen herausfinden. Erleichtert wird dies nicht zuletzt auch durch den Umstand, dass nicht alle Plattformen gleich restriktive Datenschutzrichtlinien haben.
Besonders häufig in die Falle tappen Nutzer bei der Sicherheitsfrage, um das Passwort wieder herzustellen. Der Angreifer braucht in vielen Fällen nur die Social-Media-Profile einer Person zu durchforsten, um dort beispielsweise den Namen des Hundes herauszufinden.
Insgesamt spielt den möglichen Angreifern in die Hände, dass kaum jemand „nur“ auf einer Plattform aktiv ist. Selten wird das gleiche preisgegeben, was die Kombination der verschiedenen Angaben umso interessanter macht: Einmal kommt Person X ein bisschen herausgeputzer für Business daher, dann ein bisschen hipper bei den „Freizeitgspänli“.
Cyberkriminelle fälschen Parkingpay-Rechnung
Globaler Cloud-Pionier AWS setzt auf Standort Schweiz
Swisscoms Chatbot kann jetzt mehr – und steht allen offen
Künstliche Intelligenz als nächste Verteidigungslinie gegen digitale Bedrohungen
Umfrage zeigt Trend: Schweizer Unternehmen wollen europäische IT-Sicherheit
Schlüsselkriterien für die Skalierung von KI
Neon Genesis Evangelion als Live-Action-Film … oder so ähnlich
Kontrollverlust durch KI ist kein Risiko mehr, sondern Realität
Zu viele Provider? Zeit für Konsolidierung.
