Soziale Netzwerke: Zweifelhafte Phishing-Tests mit Mitarbeitern
Zwei Tools durchsuchen soziale Netzwerke nach Mitarbeitern und testen deren Anfälligkeit für Phishing. Hierzulande ist das aber (zum Glück) verboten.
(Bild: Shutterstock / Sergey Nivens)
- Uli Ries
Dass von Phishing-Nachrichten, die innerhalb sozialer Netzwerke verschickt werden, eine Gefahr ausgeht, liegt auf der Hand. Ebenso bekannt ist, dass Social-Engineering-Attacken heutzutage oft auf Recherchen in sozialen Netzwerken beruhen.
Als Social Engineering bezeichnet man zwischenmenschliche, dem Opfer meist nicht bewusste Einflussnahme zum Vorteil des Angreifers – etwa, um an vertrauliche Informationen zu gelangen. Zwei Open-Source-Tools sollen Unternehmen aufzeigen, wie groß das Risiko, in Social-Engineering-Fallen zu tappen, tatsächlich ist. Dabei bedienen sie sich allerdings Methoden, die mit in Deutschland (und in den meisten anderen europäischen Ländern) geltenden datenschutzrechtlichen Bestimmungen absolut unvereinbar sind.
Automatisierte Freundschaftsanfragen und Phishing
Das erste Tool, das Jacob Wilkin im Rahmen einer Präsentation auf der Black-Hat-Konferenz vorstellte, nennt sich "Social Attacker". Die in Python geschriebene Software dient der weitgehenden Automatisierung von Phishing-Angriffen innerhalb von Facebook, LinkedIn, Twitter und VKontakte.
Mit einer automatisch generierten Phishing-Nachricht samt URL und einer Liste der abzuklopfenden Mitarbeiter ausgestattet, schickt Social Attacker über den Firefox-Browser eine Freundschaftsanfrage an die potenziellen Opfer. Nehmen die Mitarbeiter die Anfrage an, wartet das Tool eine vorgegebene Zeit, bevor es eine (vom Nutzer im Vorfeld selbst erstellte, teils mit Platzhaltern etwa für den Namen des Opfers versehene) Phishing-Nachricht hinterher schickt. Alternativ kann sich die Software auch einige Informationen aus dem Profil der Anwendenden zusammensuchen, um die Nachricht zu personalisieren und dadurch glaubwürdiger erscheinen zu lassen.
Anhand einer automatisch eingefügten Tracking-ID lässt sich später zweifelsfrei feststellen, wer auf den Link geklickt hat.
Zweites Tool sucht Netzwerke nach Mitarbeitern ab
Der ebenfalls von Wilkin programmierte "Social Mapper" dient im Wesentlichen dazu, die Mitarbeiterüberwachung noch weiter zu vereinfachen: Die Software sucht in den bereits genannten sozialen Netzwerken (unter anderem anhand von Namen und Fotos) nach Mitarbeitern der betreffenden Organisation. Die Ergebnisse packt Social Mapper wahlweise in eine Tabelle samt Profilbildern. Oder in eine CSV-Datei, mit der sich der Social Attacker füttern lässt.
Nach Auskunft von Wilkin dauert es gut 24 Stunden, um 1000 Profile von Mitarbeitern ausfindig zu machen. Das Tool legt immer wieder Pausen ein, um nicht ins Visier eventuell vorhandener Betrugserkennungsmechanismen der Seitenbetreiber zu geraten.
Nutzung der Tools in Deutschland rechtlich unzulässig
Der Programmierer weist darauf hin, dass der Einsatz der Tools je nach rechtlicher Lage in einzelnen Ländern nicht legal sei.
So auch in Deutschland: Hierzulande gelten für Social Media Monitoring dieselben Regeln wie für jede andere Form der Mitarbeiterüberwachung auch.
"Nach § 26 BDSG (Bundesdatenschutzgesetz) dürfen Mitarbeiter nur überwacht werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist", bestätigen die Heise-Juristen. Eine verdachtsfreie "Rasterfahndung", wie sie mit diesen Tools durchgeführt werde, beeinträchtige das Persönlichkeitsrecht der Mitarbeiter in so großem Umfang, dass es hierfür keine Rechtsgrundlage gebe.
Weitere Themen von der Black-Hat-Konferenz 2019:
- Boeing 787: Forscher dokumentiert Schwachstellen in Netzwerkkomponenten-Firmware
- Biometrie: Lebenderkennung von iPhone & Co. ausgehebelt
- Pwnie Awards 2019: Auch die Presse bekommt ihr Fett weg
(ovw)
