Persönliche Angaben in Social Networks fördern Cyberkriminalität

In einem Experiment hat Sophos herausgefunden: Mitglieder sozialer Netzwerke geben auf Anfrage oft persönliche Daten wie E-Mail-Adresse, Geburtstag oder Telefonnummer preis – ohne die Identität des Absenders zu kennen. Für Cyberkriminelle sei es damit ein Leichtes, auf diese Weise potenzielle Opfer auszuspionieren und gezielt zu attackieren.

Social Networks gehören zu den meist genutzten Web 2.0-Angeboten. Auf Online-Plattformen, wie Stayfriends, Lokalisten oder Wer-kennt-wen sind mittlerweile viele Internet-Nutzer weltweit registriert. “Millionen von Internet-Nutzern registrieren sich heute in Online-Communities, um alte Schulkameraden zu finden, neue Freundschaften zu schließen oder berufliche Kontakte zu knüpfen. Dafür wirft so mancher Nutzer jegliches Misstrauen über Bord und offenbart Wildfremden vertrauliche Informationen. Dass sich hinter dem viel versprechenden neuen Geschäftspartner auch ein krimineller Hacker oder Spammer verstecken kann, scheinen die wenigsten zu bedenken. Eine kurze Anfrage per Mail genügt und viele Nutzer geben bereitwillig Auskunft”, berichtete Christoph Hardy, Security Consultant bei Sophos.

Das Experiment sah wie folgt aus: Unter dem frei erfundenen Namen ‘Freddi Staur’ registrierte sich Sophos im populären englischsprachigen Online-Netzwerk Facebook und hinterlegte im Profil lediglich das Foto eines kleinen, grünen Frosches sowie einige wenige persönliche Daten. Sophos sendete daraufhin Anfragen an 200 willkürlich ausgewählte Facebook-Nutzer. Das Ergebnis: 41 Prozent antworteten auf die Kontaktaufnahme und gewährten Freddi den Zugriff auf ihre in Facebook hinterlegten persönlichen Informationen. In vielen Fällen wurde ihm dabei der Zugriff auf eine oder gar mehrere E-Mail-Adressen, das Geburtsdatum, die Adresse und Telefonnummer sowie häufig auch auf private Fotos von Freunden und Angehörigen erlaubt. Viele der Kontakte nannten darüber hinaus persönliche Vorlieben und Abneigungen, Hobbies wie auch berufliche Details.

“Wäre Freddi ein Cyberganove, hätte er jetzt alle Informationen, um die User gezielt zu attackieren und sie um ihr Geld zu bringen – sei es über individuell gestaltete Phishing- und Spam-Mails oder Malware-Angriffe. Mithilfe persönlicher Daten, wie den Geburtstag oder den Namen der Freundin, lassen sich beispielsweise ebenso einfach Passwörter herausfinden, falsche Identitäten anlegen oder gar Konten leeren. Um nicht Opfer gezielter Datenspionage zu werden, sollten Mitglieder sozialer Netzwerke bei Kontaktanfragen von Unbekannten daher besonders wachsam sein”, so Hardy.