Social Phishing
Die dunklen Möglichkeiten der Social Software - ein Szenario
Nur einmal angenommen: die Web 2.0-Welle schwappt nachhaltig über den grossen Teich. Und angenommen, die „Wisdom of crowd“ baut auch weiterhin auf dem Vertrauen auf, dass jeder von uns allezeit seinen Namen in Social Networks und Swarming Tools kontrollieren kann. Dann verdichten sich das Profil eines Users und seine soialen Zeichen im Netz. Angenommen das reizt einzelne zum Spiel und Misbrauch, denn diese Kontrolle ist ein Irrglaube. Wie sähe es aus, in das soziale Gefüge eines ausgesuchten Opfers einzudringen?
In einem Redaktionsbüro des BURDA Verlages war 1995 viel Spaß mit AOL-Accounts zu haben. Die Redakteure drangen im Rudel in einen Chatraum des eben neu auf den Markt gekommenen Datendienstes ein und blödelten einen harmlosen User an. Na endlich, das sei doch der Schweinehund, der der Schwester ein Kind gemacht habe – was dieser online bestritt. Genau, und bei einer anderen habe er das auch versucht – auch das wurde bestritten. Und wahrscheinlich sei er gerade in diesem Chatraum wieder auf der Jagd - der wehrlose AOL-User verschwand.
Dass sich fünf in einem Raum unter verschiedenen Accounts angemeldet hatten und die soziale Glaubwürdigkeit eines anderen untergruben, konnte man damals in die Rubrik „pubertäre Fingerübungen mit einem neuen Medium“ einordnen. Chaträume gelten und galten zudem als Spielwiese, die sich auch ohne Gegenwehr als Interviewplatz misbrauchen liessen.
Heute sind wir zehn Jahre weiter.
Social Pishing, so das Gedankenexperiment würde ein wenig mehr Vorbereitung brauchen, aber die Effekte wären durchschlagender. Denn soziale Duftmarken im Netz zu hinterlassen, ist weitaus anerkannter als noch Mitte der 90er. Damit auch glaubwürdiger.
Nehmen wir einfach an, dass eines schönen Tages einer beschliesst, die ewigen Mails über Gates, der wieder einmal sein Vermögen verschenkt, seien ein wenig langweilig geworden. Nehmen wir weiterhin an, dass ihm ein wenig Zeit zur Verfügung steht und er über Web Two Point Oh einen geeigneten Namen und eine Fake-Website aufbaut, die offiziell eine Beta dieser Web 2.0-Anwendung anbietet. Darauf ist zu lesen, dass diese wunderbare Applikation bald live sein wird. Man solle sich hier anmelden, dann bekomme man einen der wenigen Accounts zu diesem sensationellen Tool. Mail und Passwort reichen. Also das unseriöse Me too von Marketing-Innovationen, wie sie das Haus Google gerne in die Welt setzt.
Er lässt ein paar Wochen verstreichen und sammelt die hereinkommenden Bewerbungen. Wenn er sehr viel Mühe verwenden will, dann setzt er so noch weitere Sites auf (und die werden später einfach wieder verschwinden). Der Anteil derer, die sich bei vielen solcher aufsprießenden Projekte mit immer dem gleichen Account und den gleichen Passwörtern anmelden, wird sicher nicht 100% sein, aber ein paar heillos Gutgläubige werden sich finden lassen. Und ein einfacher Blick in die Datenbank, ein Test bei bekannteren Anwendungen wie z.B. Flickr wird zeigen, ob es sich bei den Kandidaten um solche handelt, die gerne immer wieder die gleichen Zugangscodes nutzen. Bei den vielen Gelegenheiten zu Accounts und personalisierten Contents denkt sich doch nicht jeder immer neue Passwörter aus.
Nach weiteren Tagen des Testens finden sich ein halbes Dutzend Gutgläubiger, die auch in anderen Anwendungen gleiche Zugangsdaten nutzen und nicht wissen, dass ein Pisher sich testweise bereits Zugang zu verschiedenen Shared Contents des Opfers besorgt hat. An einem Wochenende schlägt er zu und ändert, verdeckt an zuerst unauffälligen Stellen, die Inhalte und Angaben, die sich auf diversen Servern befinden. Nach und nach wandelt sich so das Bild eines lustigen Hobbyfotografen und Bloggers in das eines Spinners mit zweifelhaften Vorlieben.
Weil das Opfer auch noch über das Netz von seinem kommenden Urlaub gesprochen hat, merkt es sicher in den nächsten Wochen nichts vom Missbrauch und kann nicht glauben, wie sich bestehende Inhalte nach seiner Rückkehr verändert haben. Schnell versucht er, den alten Zustand wieder herzustellen. Aber das Passwort hat sich verändert und verweigert den Zugang. Neue Inhalte unter seinem Namen tauchen auf. Google crawled diese Contents, und weil die Suchmaschine laut Aussage von Marissa Mayer, President Search Products & User Experience, Google auf den DLD06 nicht einzelne User und deren Contents aus dem Cache löscht, ist dieser nun gebranntmarkt.
Eine Anzeige wegen faschistischer und pornografischer Inhalte geht ein und bringt polizeiliche Recherche, auch auf dem PC beim Arbeitgeber, in Gang. Die Familie wird Zeuge eines sich verzweifelt wehrenden Ehemanns, der – JA – die Strandfotos auf Flickr veröffentlicht hatte, aber doch nicht unter dem gleichen Account diese Schweinereien. Das soziale Ansehen in seinem Umfeld kippt, wer glaubt ihm jetzt?
Die Geschichte lässt sich weiter spinnen. Sie ist übertrieben.
Aber sie ist nicht unmöglich. Abgesehen von eher suboptimalen Versuchen durch Passport (Microsoft) hat es wenige Initiativen gegeben, Passwörter klar an die reale Identität zu binden. Und andere Authentifizierungsmechanismen wird es dank der Verspätung von modernen Betriebssystemen für den Markt auch lange nicht geben. Aber kaum eine Web 2.0-Anwendung kommt ohne Anmeldung von Accounts aus und baut damit diese Lücke im täglichen Umgang ein. Umsichtig vorgehende User werden sich mit diversen Angeben zu Tode verwalten, statt amüsieren. Schlamper laufen Gefahr, in ein solches Szenario zu geraten, das hier nur durchdacht, aber bisher noch nicht in der Breite zur Anwendung kam.
Was auf den ersten Blick so unrealistisch scheint, hat die gleichen Motive wie ein Virus, der einen gesamten Datenbestand vernichten kann. Lust am Machbaren. Distanz zu den Opfern, Hacker-Ästhetik. Neu ist dabei, dass solche Szenarien dank weiter Verbreitung von Social Software nun auch Peer to Peer möglich sind und nicht mehr einen übermächtigen Staat brauchen, der das Leben eines Bürgers binnen 12 Stunden zur Hölle macht. Ein kleiner Scherzkeks mit der entsprechenden Motivation Daten-Stalking zu betreiben reicht. Theoretisch.