Angriff aufs soziale Netz

Eine weitere Gefahr besteht in der Manipulation der Social-Networking-Seite selbst. Ist beispielsweise die Erstellung einer persönlichen Eingangsseite erlaubt, lässt sich dort Schadcode integrieren, falls er beim Speichern der Seite nicht herausgefiltert wird. Jeder Besucher der Seite ist dann gefährdet.
Auch so genannte «Cross Site Scripting (XSS)»-Schwachstellen, etwa im Gästebuch einer Social-Network-Seite, lassen sich ausnutzen, um Schadcode zu integrieren. Von XXS spricht man immer dann, wenn eine Webanwendung Daten von einem Nutzer annimmt und ohne Überprüfung direkt an einen anderen weitersendet. Der Schadcode leitet so das Opfer auf eine andere Seite um, die Malware installiert. Auch das Stehlen von Passwörtern oder Session-IDs ist auf diesem Weg möglich. Selbst hinter Werbebannern lauert die Gefahr: Es ist mittlerweile durchaus möglich, den schadhaften Code dort einzubetten und zu verbreiten.
Grundsätzlich stehen alle Optionen, mit denen die Benutzer das Angebot den eigenen Wünschen entsprechend anpassen, auch Hackern für ihre Angriffe zur Verfügung. Die Angriffsmöglichkeiten sind vielfältig. Am einfachsten ist noch das Erraten schwacher Passwörter, beispielsweise der Name des Hundes, der dann auch noch im Profil erwähnt wird. Je nach System lässt sich auch eine Session-ID erraten, oder eine spezielle URL erlaubt den direkten Zugriff auf das Profil eines anderen Benutzers. Vermehrt beobachten wir auch SQL-Injection-Angriffe, mit denen beispielsweise alle Benutzernamen einschliesslich Passwort angezeigt werden können. Auch der Passwort-Klau über Phishing-Attacken spielt eine grosse Rolle.

Neben Hackern nutzen auch Spammer die Social Networks für ihre Zwecke. Jede Seite, die reale E-Mail-Adressen leicht zugänglich veröffentlicht, füllt die Adresslisten der Spammer. Auf den meisten Business-Plattformen existieren allerdings Richtlinien und Technologien, die eine Ansicht der E-Mail-Adressen nur dann erlauben, wenn der Nutzer dies zuvor in seinem Account freigeschaltet hat. Dennoch gelang es mit Hilfe eines durch Phishing gestohlenen Premium Accounts beim Stellenvermittler Monster.com, automatische Anfragen an das System zu senden und so tausende von Profilen abzurufen und zu speichern. Mit einfachen Scripts testen die Spammer auch in Online-Communities ganz einfach, ob E-Mail-Adressen freigegeben sind. Dazu suchen derartige Scripts zufällig ausgewählte Namen und überprüfen deren Kontakte. Auch lässt sich eine existierende E-Mail-Adresse eingeben, um festzustellen, ob es einen Benutzer dazu gibt. Die Spam-Listen füllen sich so fast automatisch mit wertvollen Zusatzdaten. Hat jemand ein spezielles Unternehmen im Visier, werden dort tätige Personen nach dem in der Firma gebräuchlichen Muster für E-Mail-Adressen kontaktiert (beispielsweise vorname_name@firma.ch).
Trotz aller Sicherheitsmassnahmen finden sich immer recht schnell Mittel und Wege, um diese zu umgehen. Ist der Zugang zu einem Netzwerk erst einmal geschafft, können Spammer und Hacker E-Mails mit Schadcode versenden oder Skripts auf den Computern der Opfer installieren, um an weitere Mail-Adressen aus dem Netzwerk oder an das persönliche Adressbuch des Betroffenen zu gelangen. Dabei sind diese Attacken besonders effektiv, da der Absender eine vermeintlich bekannte Person ist.

Virtuelle Welten wie Second Life sind im Prinzip den Social-Networking-Seiten sehr ähnlich. Auch Sie integrieren zunehmend komplexere Client-Software, um Grafik und Interaktionen zu verbessern. Und auch hier täuscht die Gruppenmitgliedschaft eine sichere Umgebung vor: So könnte sich ein Hacker als Mitspieler oder Administrator ausgeben, ein Tool anbieten, das die Leistung steigert, das dann leichtfertig geöffnet wird. Dabei könnte das Tool in Wirklichkeit ein Keylogger oder andere Malware sein. In Firmenumgebungen haben solche «Spielwiesen» daher nichts zu suchen.