Laut einer aktuellen Studie von Sophos, geben Facebook-Nutzer eine Menge persönlicher Informationen gegenüber von Freunden oder sogar Personen, die sie nicht einmal kennen. Mittels falscher Profile hat Sophos Freundschaftsanfragen an 100 zufällig ausgewählte Facebook-Nutzer verschickt. Mehr als 40 Prozent der Anfragen wurden blindlings bestätigt, so dass Sophos Zugriff auf Geburtsdaten, E-Mail-Adressen, Telefonnummern und Anschriften erhielt – private Daten, die ein Fremder nicht einsehen können sollte.
Die Offenheit von Twitter – jeder kann jedem folgen und Einträge werden in Suchmaschinen registriert – macht es zu einem Nirvana für Spam-Versender. Kaspersky sagt, dass täglich rund 500.000 neue und einmalige URLs in Twitter-Meldungen versendet werden, von denen jeweils zwischen 100 und 1.000 Malware-Attacken sind. Hier ist eine Übersicht über die spezifischen Gefahren, denen Nutzer dieser Seiten ausgesetzt sind sowie Ratschläge, wie sie sich verhalten können.
Probleme: Malware, Konten-Kidnapping, Phishing und Social Engineering
Das größte Malware-Risiko ist Koobface – ein Anagramm von Facebook. Dabei handelt es sich um einen Wurm, der Social Networking Seiten anfällt und Windows-basierte Computer angreift. Sobald ein Computer befallen ist, wird das Facebook-Konto entführt und es werden Nachrichten an die Freunde des Opfers versendet, um diese zu ermutigen, einen Link anzuklicken. Der Link leitet sie an eine Internetseite weiter, auf der die Nutzer unter dem Vorwand ein Video ansehen zu können, dazu angehalten werden, eine Software herunterzuladen. Allerdings gibt es kein Video, nur Malware, die das System befällt, den Zugang zu Sicherheitsseiten verweigert und dazu verwendet werden kann, sensible Daten — wie beispielsweise Kreditkartennummern — zu stehlen. Die infizierten Rechner können laut Rick Ferguson, einem Sicherheitsforscher bei Trend Micro, wiederum dazu benutzt werden, den Wurm auf Facebook zu verbreiten, Spam-Nachrichten zu versenden oder gefälschte Antiviren-Meldungen anzuzeigen. Des Weiteren merkt er an, dass Koobface nun auch automatisch über die befallenen Systeme neue Nutzerprofile erstellen kann.
Facebook-Konten können auf unterschiedliche Weise entführt werden. Mittels Brute-Force-Angriffen können Kennwörter ermittelt werden. Nutzer können auch Opfer von Phising-Angriffen werden, wenn sie einen Link in einer Nachricht oder Meldung anklicken, die angeblich von Freunden kommen und sie zur Anmeldeseite weiterleiten. Außerdem kann Malware wie Koobface Passwörter stehlen.
Social Engineering ist ein großes Problem für Social Networks, da das Vertrauen, das die Mitglieder gegenüber Mitteilungen von Freunden haben, leicht von Betrügern ausgenutzt werden kann. Entführte Konten werden genutzt, um alles Mögliche zu versenden – angefangen von Diät-Plänen; über Links, die Malware installieren und Passwörter stehlen bis hin zu gefälschten Notrufen, die besagen dass ein Freund Probleme im Ausland hat und dringend Geld benötigt. Betrüger versenden auch E-Mails, die aussehen als kämen sie von Facebook und verschicken im Anhang Trojaner.
Lösungen: Nutzen Sie Antiviren und Anti-Malware-Programme und halten Sie diese stets auf dem aktuellen Stand. Installieren Sie Sicherheits-Updates für Ihr Betriebssystem und andere Programme. Benutzen Sie Softwareanwendungen wie den AVG Linkscanner oder den McAfee Site Adviser, um sich vor Phishing- und Malware-Angriffen zu schützen. Werden Sie ein Fan der Facebook Security Page, auf der alle möglichen Sicherheitsprobleme, Tipps, Hilfsmittel und anderen Informationen bekannt gegeben werden. Wenn Sie denken, dass Ihr System möglicherweise von Koobface oder einer anderen Malware befallen ist, sollten Sie Ihr Kennwort ändern und alle Freunde informieren, die möglicherweise infiziert wurden.
Verwenden Sie einen aktuellen Browser, der eine Anti-Phishing Liste unterhält, wie beispielsweise Firefox 3.0.10 oder der Internet Explorer 8. Achten Sie darauf, wo Sie Ihr Kennwort eingeben. Prüfen Sie, ob Sie sich auf einer echten Facebook-Seite unter der Domain Facebook.com anmelden. Seien Sie vorsichtig, wenn Sie ungewöhnliche Mitteilungen oder Angebote bekommen, die sich zu gut anhören, um wahr zu sein. Verifizieren Sie Informationen direkt mit den Quellen. Reagieren Sie mit Vorsicht, wenn Sie Nachrichten, Meldungen oder Links erhalten, die verdächtig aussehen, eine weitere Anmeldung oder das Herunterladen zusätzlicher Programme erfordern. Klicken Sie nicht auf Links, die Ihnen seltsam erscheinen und öffnen Sie keine Anhänge in verdächtigen E-Mails. Sie können eine Sicherheitsabfrage auf der Seite „Einstellungen“ einrichten, um ein weiteres Sicherheits-Level hinzuzufügen.
Eine Rogue-Applikation, hat zu Beginn des Jahres Hinweise an Facebook-Nutzer verschickt, die besagten, dass sie die geltenden Servicebedingungen verletzt hätten. Daraufhin wurden Sie mittels eines Links an eine Anwendung mit dem Titel „facebook – closing down!“ weitergeleitet, an alle Freunde des Opfers mit Spam-Nachrichten attackierte.
Problem: Rogue-Anwendungen
Facebook überprüft nicht jede Anwendung, die auf seinen Seiten erscheint, weshalb das Risiko besteht, dass einige Applikationen Bugs haben oder die Richtlinien zum Schutz der Privatsphäre verletzen. Facebook hat sich als sehr sorgfältig beim Entfernen von Rogue- und anderen problematischen Anwendungen erwiesen und diese Apps bei Benachrichtigung schnellstmöglich eliminiert. Doch im Gegensatz zu iPhone Apps, kann fast jeder eine Facebook Applikation schreiben. „Da der Code nicht immer professionellen Standards entspricht oder von Facebook geprüft wird, haben wir von außen betrachtet harmlos aussehende Applikationen gesehen, die Malware, wie gefälschte Antiviren-Programme enthalten“, sagte Ferguson. Eine Rogue-Applikation hat laut Trend Micro zu Beginn des Jahres Hinweise an Facebook-Nutzer verschickt, die besagten, dass sie die geltenden Servicebedingungen verletzt hätten. Daraufhin wurden sie mittels eines Links an eine Anwendung mit dem Titel „facebook – closing down!“ weitergeleitet, die alle Freunde des Opfers mit Spam-Nachrichten attackierte.
Lösung: Es treffen die vorgenannten Lösungen zu. Seien Sie vorsichtig, wenn Sie Applikationen hinzufügen. Ermitteln Sie die Entwickler, führen Sie Internetrecherchen durch und schauen sie, ob sich jemand über die Anwendung beschwert hat. Fragen Sie sich selbst, welchen Mehrwert die Applikation bietet. Wollen Sie wirklich Zombie spielen?
Problem: Sicherheitslücken auf Grund von Nutzerfehlern
Weil die Nutzer bestimmen können, mit wem sie sich auf Facebook anfreunden, haben Sie schnell ein falsches Sicherheitsverständnis bezüglich ihrer Privatsphäre und der Daten und Aktivitäten auf diesen Seiten. Social Engineering Attacken, ein lockerer Umgang mit Sicherheitspraktiken (wie beispielsweise schwache Passwörter) und Design- oder Umsetzungsfehler der Website können die Schutzvorrichtungen, auf die sich die Nutzer verlassen, unterwandern. Benutzer, die auf Phishing-Betrüger hereinfallen und deren Benutzerkonten entführt werden, entblößen alle Informationen in ihren Konten vor Fremden, die diese Daten zum Identitätsmissbrauch nutzen oder die Freunde des Nutzers mit Social Engineering Attacken angreifen.
Lösung: Es treffen die vorgenannten Lösungen zu. Außerdem sollten Sie einmalige Anmeldedaten für jede Website nutzen. Verwenden Sie starke Passwörter, wechseln Sie sie oft und teilen Sie sie mit niemanden.
Problem: Sicherheitslücken auf Grund von Design- und Umsetzungsfehlern
Datenschutzbefürworter behaupten, dass Facebooks mildes Genehmigungsverfahren für Apps, sein Privatsphäre-Richtlinien und unübersichtlichen Sicherheitseinstellungen ein Risiko für seine Nutzer darstellt. Vor zwei Wochen hat Facebook seine Nutzer aufgerufen, ihre Daten zu konfigurieren. Die Optionen waren verwirrend und viele Menschen waren dazu geneigt, die Voreinstellungen beizubehalten, welche darauf ausgelegt sind, die Daten im Netz zu veröffentlichen anstatt der alten Einstellungen der Nutzer zu übernehmen.
Viele Nutzer haben sich beschwert, dass es schwierig zu verstehen ist, wie man die Privatsphäre-Einstellungen wechseln kann, dass die Optionen nicht intuitiv bearbeitet werden können und dass es keinen Zentralen Ort zur Konfiguration gibt. Wird Facebook Connect mit einer externen Applikation wie beispielsweise der iPhone App Fourspace verwendet, kann es passieren, dass sogar noch mehr Informationen als vom Nutzer vorgesehen veröffentlicht werden. Die neuen Privatsphäre-Einstellungen von Facebook haben das Electronic Privacy Information Center veranlasst, die Federal Trade Commission mit den diesbezüglichen Ermittlungen zu beauftragen.
Facebook ermutigt seine Nutzer dazu, Ihren vollen Namen, Ihr Geburtsdatum, Ihren Wohnort und andere Informationen bekannt zu geben und damit Angaben zu teilen, die häufig zum Identitätsmissbrauch zweckentfremdet werden. Betrüger auf Untergrundseiten betiteln Facebook laut Ferguson sogar als freie „Geburtsdatenbank“. Die Nutzer sind sich nicht bewusst, dass all ihre Daten von völlig Fremden eingesehen werden können, die sich in den gleichen Gruppen oder Netzwerken aufhalten, sofern sie nicht alle spezifischen Einstellungen ändern. Personen, die nicht wahllos irgendwelchen Applikationen trauen – die normalerweise Zugriff auf die Profilinformationen haben, auch wenn diese für die Anwendung selbst nicht notwendig sind-- wissen nicht, dass die Applikationen ihrer Freunde ebenfalls auf ihr Profil zugreifen können. „Die Anwendungen Ihrer Freunde können Ihr Profil, Ihre Interessen und Gruppen ansehen. Es gibt keine Möglichkeit, sie davon abzuhalten, Ihren Namen, Ihre Fotos, Ihre Stadt und Ihr Geschlecht herauszufinden“, erklärte Joseph Bonneau, ein PhD-Anwärter für Sicherheit an der Universität Cambridge. Als Antwort auf das Feedback seiner Nutzer hat Facebook eine Änderung vorgenommen, die es den Nutzern ermöglicht, Ihre Freunde-Liste vor allen außer ihren Freunden zu verbergen, erklärte ein Facebook-Sprecher.
Lösung: Detaillierte Anleitungen und Tipps, wie Sie die Facebook Privatsphäre-Einstellungen verwalten können, finden Sie auf DotRights.org und dem All Facebook Blog. Facebook selbst hat ebenfalls einen Blogeintrag zum Thema Änderungen in den Privatsphäre-Einstellungen.
Problem: Sicherheitslücken im Zusammenhang mit Marketing
„Die Beziehung zwischen den Apps und den Werbetreibenden kann ebenfalls zu Problemen führen. Wenn eine Applikation hinzugefügt wird, wird es der Anwendung erlaubt, Anzeigen auf der Facebook Domain zu schalten, weshalb Informationen eines Nutzers an den Werbenden durchsickern können“, erklärte Peter Eckersley, ein Technologe der Electronic Frontier Foundation. „Mittlerweile können Cookies und andere Browser-Tracking-Technologien mit den Daten aus sozialen Netzwerken kombiniert werden und von Marketern genutzt werden, um Nutzer für zielgerichtete Werbeanzeigen und andere Zwecke zu identifizieren“, sagte er. Indem Details in einem Blogeintrag oder über andere Wege bekannt gegeben werden, können Daten aus Social Networks Drittanbietern zur Verfügung gestellt werden. Sobald ein Marketer den spezifischen Nutzernamen einer Person kennt, kann dieser laut Eckersley als Identifizierungsmerkmal in die URL übernommen werden, um auf diese Weise das öffentliche Profil eines Nutzers einsehen zu können. „Es kann ein soziales Bild aus Ihrem Geburtsdatum, Ihrem Wohnort, Ihrer Arbeitsstelle und Ihrem Familienstand erstellt werden, denn alle Angaben sind einmalig kodiert und können automatisch in Datenbanken übertragen werden,“ erläuterte er.
Lösung: Wählen Sie gute Cookie-Richtlinien für Ihren Browser. Nutzen Sie beispielsweise die manuelle Annahme oder stellen Sie ein, dass Cookies nur so lange behalten werden, bis der Browser geschlossen wird. Deaktivieren Sie Flash Cookies. Nutzen Sie Firefox Extensions wie RequestPolicy und NoScript, um Kontrolle darüber zu haben, wann Drittseiten Inhalte einbringen dürfen oder Code in Ihrem Browser laufen lassen dürfen. Nutzen Sie das Targeted Advertising Cookie Opt-Out Plugin oder AdBlock Plus, um Werbeanzeigen zu blocken. Um Ihre IP-Adresse und andere Browsermerkmale zu verbergen, können Sie Tor über Torbutton nutzen.
Problem: Informationen werden genutzt, um Meinungen zu unterdrücken und politische Aktivisten anzugehen
Wie bei E-Mails, Blog-Einträgen und anderen öffentliche Äußerungen der Unzufriedenheit, wurden Facebook und Twitter von den Regierungen benutzt, um Demonstranten anzugehen. Das Wallstreet Journal hat kürzlich darüber berichtet, dass Familienmitglieder von Amerikanern iranischer Abstammung festgenommen und verhört wurden, weil man auf Facebook im Ausland verfasste Einträge gefunden hatte, die sich gegen die iranische Regierung äußern. In anderen Fällen wurden im Ausland lebende Iraner bei der Ankunft am Flughafen in Teheran von Regierungsbeamten gezwungen, die Anmeldedaten ihrer Facebook-Konten oder ihre Kennwörter bekannt zu geben, weil sie politische Äußerungen veröffentlicht hatten. Teilweise wurden auch ihre Pässe konfisziert. Laut der EEF wurde auch gegen US-Bürger auf Grund von Informationen vorgegangen, die man auf ihren Social Networking Seiten gefunden hatte. Die Organisation hatte die CIA und andere Behörden verklagt, weil Sie angeblich die Aussage darüber verweigern, wie solche Seiten bei Überwachungen und Ermittlungen eingesetzt werden.
„Jedes Mal, wenn Sie etwas auf Facebook einstellen, können Sie davon ausgehen, dass die ganze Welt darüber Bescheid weiß: Ihre Familie, Ihr Arbeitgeber, die Regierung und Personen, denen Sie nicht vertrauen“, sagte Eckersley.
Lösung: überlegen Sie gut, welche Daten Sie über sich veröffentlichen wollen und bedenken Sie, dass Sie nur die Informationen einstellen, bei denen es Sie nicht stört, dass die breite Öffentlichkeit sie sehen kann.
Publikationen
Kommentare