Mit in Facebook integrierten Funktionen können Nutzer von Fremden ausspioniert werden. Allerdings setzt das Werkzeug auf die Mitarbeit des Opfers.
Personen, die man kennt oder erkennt, vertraut man eher. Diesen Umstand macht sich ein Software-Werkzeug zunutze, mit dem Sicherheitsexperten ein Angriffsszenario für Facebook-Profile dargestellt haben. Genannt Facebook Pwn, nutzt es diverse Mechanismen des Social Networks aus, um an persönliche Informationen einer Zielperson zu kommen. Kontoinformationen wie etwa Passwörter sind davon allerdings nicht betroffen.
Das Tool verschickt über ein gefälschtes Konto Freundschaftsanfragen an die Kontakte der Zielperson. Danach kann der Angreifer sich aus diesen Freunden des Opfers eine Identität aussuchen, die er annehmen möchte und schickt eine Freundschaftsanfrage an die Zielperson. Diese wundert sich in diesem Szenario nur kurz, warum ein bereits bestätigter Freund noch einmal eine Anfrage schickt, und bestätigt sie, ohne viel darüber nachzudenken.
Nicht mehr umkehrbar
Sobald das geschehen ist, lädt Facebook Pwn alle verfügbaren persönlichen Informationen über das Opfer und dessen Fotos herunter. Diese Daten bleiben verfügbar, selbst wenn der Schwindel aufgedeckt und die Verbindung zum gefälschten Konto wieder gekappt wurde. Mit den gewonnenen Daten könnten weitere, präzisere Attacken auf das Opfer gestartet werden.
Die Entwickler behaupten, das Tool macht sich lediglich Plugins zunutze, die Facebook von Haus aus anbietet. Es handelt sich dabei um ein "Proof of Concept". Die Entwickler bitten, das Werkzeug nicht für Missbrauch zu nutzen. Es ist allerdings für jeden frei als Download verfügbar. Man kann also nicht ausschließen, dass Angreifer das Tool bereits ausnützen. Erhöhte Vorsicht bei der Bestätigung von Freundschaftsanfragen sollte geboten sein.
(db)