Freundschaften auf sozialen Netzwerken sind schnell geschlossen. Insbesondere, wenn der neue “Freund” mit mehreren der im wirklichen Leben guten Bekannten bereits virtuell verbandelt ist. Diese Tatsache machte sich der Security Consultant Thomas Ryan für ein Experiment zu nutze, das jetzt die Washington Times in einem interessanten Artikel nachgezeichnet hat.
Ryan erfand Robin Sage, eine Analystin für Cyberbedrohungen und erstellte in ihrem Namen eine Facebookseite, Twitter-Account und weitere virtuelle Präsenzen. Die notwendigen Fotos entnahm er einschlägigen Amateur-Pornowebsites. Anschließend wurden systematisch Online-Freundschaften geschlossen, insbesondere zu Angehörigen des Militärs und einschlägiger amerikanischer Sicherheitsbehörden sowie zu hochrangigen Angestellten von militärischen Ausrüstungsfirmen. Im weiteren Verlauf ging es der virtuellen Robin Sage darum, Informationen zu erhalten, welche die befreundeten Kreise aufgrund der virtuellen Freundschaft auch bereitwillig lieferten. Hierzu gehörten z.B. Fotos von Patrouillen aus Krisengebieten (inkl. eingebetteter GPS-Koordinaten im EXIF-Profil), private Details, z.B. Heimatadressen und Fotografien naher Familienangehöriger und viele weitere vertrauliche Informationen, die in der Folge social engineering Angriffe auf Dritte ermöglicht hätten.
Gerade die berufliche Erfahrung der Getäuschten hätte es ihnen leichtmachen müssen, die Tarnung zu erkennen. So gab Sage vor, 10 Jahre Erfahrung als Analystin zu haben, was bedeuten würde, dass sie bereits mit 15 Jahren eingestiegen wäre. Auch die Positionsbezeichnung auf ihrer Webseite existiert in der realen Behörde nicht. Der Name schließlich entstammt einer jährlichen Militärübung, was sich durch eine kurze Google Suche hätte herausfinden lassen. Einige der Kontaktierten kamen dann der Täuschung auch sehr schnell auf die Schliche. Allerdings gab (und gibt) es offenbar keine Möglichkeit, derartige Aktivitäten Angehörigen anderer Einrichtungen schnell und unkompliziert mitzuteilen und sie so zu warnen.
Während Ryan sein Experiment als “red team” Aktivität einschätzt, um die Sicherheit zu überprüfen, gab es in der Vergangenheit auch schon derartige Angriffe, um aktiv Informationen zu erlangen. So war etwa die Hisbollah auf die gleiche Weise an Informationen des israelischen Militärs gelangt. Über das Profil einer (erdachten) “Reut Zuckerman” konnte innerhalb kurzer Zeit Verbindungen zu über 200 aktiven Militärangehörigen und Reservisten aufgebaut werden. Auf diese Weise war es möglich, Informationen über die Aktivitäten bestimmter Einheiten, Namen und Zugehörigkeit zu Abteilungen, den einschlägigen Slang sowie Bildmaterial zu gewinnen.