Vom Facebook zum Spambook?

IT-Sicherheitsexperten zeigen in einem Experiment, wie leicht sich Nutzer von sozialen Netzwerken hinters Licht führen lassen. Für Betrüger ist der Aufwand von Netzwerk-Spam zwar höher, der Nutzen aber deutlich größer als bei klassischer Mail-Spam.

Der Siegeszug der sozialen Netzwerke, allen voran Facebook, ist ungebrochen. Daran ändert bislang auch ein löchriger Datenschutz nichts. Doch nun kündigt sich neuer Ärger an: Soziale Netzwerke eignen sich hervorragend für Spammer, jene Nervensägen, die ungefragt Sonderangebote für allerlei Überflüssiges und dubiose Geschäftsmodelle verschicken. Denn wie ein Experiment des rumänischen Antivirensoftware- Herstellers BitDefender zeigt, springen die Nutzer auf Netzwerk-Spam viel eher an als auf Spam-Emails, die nur noch als lästiger Datenmüll weggeklickt werden.

Eine Gruppe um BitDefender-Forscher George Petre fand heraus, dass sich Facebook-Nutzer überraschend leicht dazu verlocken lassen, Freundesanfragen von wildfremden Netzwerk-Mitgliedern anzunehmen. Damit nicht genug: Nutzer folgten auch arglos den Links, die ihnen ihre neuen „Freunde“ empfahlen.

Hierfür nutzten Petre und seine Kollegen die Netzwerk-internen Nachrichtenkanäle aus. Zwar hat Facebook, das nach eigenen Angaben 400 Millionen Profile enthält, ein Antispam-System. Das schützt aber besser gegen so genannte Phishing-Emails, mit denen User dazu verleitet werden sollen, auf gefälschten Webseiten Passwörter für bestimmte Online-Dienste zu verraten. Interne Spam-Nachrichten hingegen erkennt das System lange nicht so gut.

Für ihr Experiment legte die Petre-Gruppe zunächst falsche Facebook-Profile an: Drei enthielten so gut wie keine Informationen über den vermeintlichen neuen Nutzer, eins verriet ein paar Details, das fünfte hingegen bot reichlich Informationen. Unter diesen Profilen begannen die Forscher, sich in diversen populären Facebook-Gruppen anzumelden und Freundesanfragen zu starten.

Innerhalb von 24 Stunden hatten bereits 85 Nutzer Anfragen der ersten, leeren Profile angenommen, 108 die des mittleren und 111 die des freigiebigen Profils. Im Laufe der Stunden hätten sich die Bestätigungen beschleunigt, sagt Petre, da die Nutzer zunehmend gemeinsame Freunde in den falschen Profilen entdeckten. In einigen Fällen schickten die angefragten Personen eine Nachricht, in der sie fragten, woher denn der gemeinsame Freund bekannt sei. Obwohl die Forscher darauf grundsätzlich nicht antworteten, hätten viele Nutzer dann irgendwann doch auf „akzeptieren“ geklickt, so Petre.

In der nächsten Stufe des Experiments begannen Petres Leute, Links an die neuen Bekannten zu verschicken – ohne jede Information und dazu noch über Kurz-URL-Dienste (wie tinyURL oder bit.ly) unkenntlich gemacht. Obwohl die Nutzer also nicht wussten, wohin ein Link führen würde, klickte laut Petre ein Viertel ihn doch an.

Um möglichst viele zu erreichen, würden Netzwerk-Spammer immer wieder Gruppen einrichten, um Nutzer dorthin zu locken, sagt Petre. So hätten Betrüger etwa nach dem Erdbeben in Haiti eine Gruppe gegründet, die vorgab, die Firma Facebook sammele Spenden für die Erdbebenopfer. Innerhalb von zwei Tagen traten fast zwei Millionen Nutzer der Gruppe bei, bis der Schwindel aufflog und Facebook die Gruppe löschte. In dieser Zeit seien jedoch zahlreiche Spam-Nachrichten an die Mitglieder der Gruppe rausgegangen, weiß Petre.

Eine andere Strategie, um Kontakte zu knüpfen, nutze Spiele in sozialen Netzwerken, hat Petre herausgefunden. Ein Beispiel ist das populäre Farmville, in dem sich Facebook-Nutzer in einem virtuellen Landbau versuchen. Weil man in diesen Spielen mit der Hilfe von Freunden besser vorwärts kommt, tun sich viele mit ihren Mitspielern zusammen. Ganze Gruppen auf Facebook dienen einzig und allein dem Zweck, Mitstreiter für Farmville zu finden – was Betrügern ebenfalls neue Adressaten liefert.

Sind die Verbindungen einmal hergestellt, belassen es manche Spammer nicht einfach bei simplen Nachrichten. Sie sammeln auch Daten über Nutzer und deren Kontakte, um damit ihre Spams zielgerichteter zu formulieren, oder locken sie auf präparierte Webseiten. Die enthalten in harmlosen Fällen nur Werbung, dienen aber auch für Phishing-Angriffe oder die Implementierung von Schadsoftware mittels Seitenaufruf. Im Prinzip wäre es auch möglich, mit Software-Skripts die Email-Adressen aus Nutzerprofilen herauszuziehen. Allerdings hat Facebook hiergegen einige Schutzmechanismen entwickelt, die es erschweren, die Adressen unerkannt auszuspähen, so falsche Profile auffliegen könnten.

Experten halten die Gefahr, die von Spam in sozialen Netzwerken ausgeht, für erheblich: „Sie könnte sogar größer sein als klassische Spam-Mails, weil die Betrüger ein Vertrauen aufbauen können, dass über Massenmails nicht entwickelt werden kann“, warnt Garth Bruen, der die Antispam-Software Knujon entwickelt hat. Aus den Netzwerken können Spammer viele Details aus dem Alltagsleben ihrer Opfer erfahren. Und auch wenn der Aufwand für Cyberkriminelle größer ist, könnten sie am Ende viel mehr dabei gewinnen, sagt Bruen.

Kathy Liszka, Informatikerin an der Universität von Akron und Vorsitzende der MIT Spam Conference, sieht auch eine Akzentverschiebung in den neuen Machenschaften. Bislang konnte man gegen Spam mit mathematischen und statistischen Methoden angehen. Weil man es nun aber mit Social Engineering zu tun habe, der sozialen Manipulation von Nutzern, würden IT-Sicherheitsunternehmen zunehmend Psychologen anheuern, bemerkt Liszka. George Petres Arbeit zeige, dass soziale Netzwerke Online-Betrügern einen reichen Nährboden böten. „Wenn wir die Psychologie nicht in den Vordergrund stellen, wird es schwer für uns.“ (nbo)