Forschern der Technischen Universität Wien ist es gelungen, eine der größten Hürden zu überwinden, die Online-Kriminelle bislang daran gehindert haben, die Online-Kommunikation in Internet-Chats erfolgreich zu manipulieren: das menschliche Gespür dafür, dass nicht eine Person, sondern ein Computer mit einem »spricht«.
Social Engineering umschreibt Verfahren, mit denen Cyberkriminelle ihre Opfer dazu bringen, vertrauliche Daten herauszugeben. Bewährte Hilfsmittel sind unter anderem E-Mails, die angeblich von Arbeitskollegen oder Freuden stammen.
Mittlerweile setzen Angreifer immer stärker auf Social-Networking-Plattformen, um an verwertbare Daten zu kommen und Opfer dazu zu bringen, Schadsoftware (»Schau Dir mal dieses Video an!«) auf ihre Rechner herunter zu laden. Die Kontaktaufnahme erfolgt häufig mit Verweis auf angebliche gemeinsame »Freunde«.
Ein Nachteil von Social Engineering: Es ist relativ aufwändig. Doch das könnte sich nun ändern. Forscher der Technischen Universität Wien haben im Rahmen des Projekts Eurecom nachgewiesen, dass sich Social-Engineering-Angriffe automatisieren lassen, die über Instant-Messaging-Dienste laufen.
Die Fachleute haben ein Computerprogramm namens Honeybot entwickelt. Es klinkt sich in Online-Chats ein und animiert die Teilnehmer dazu, auf Web-Links zu klicken. Solche Web-Adressen könnten zu Sites führen, über die Schadsoftware auf die Rechner der Opfer übertragen wird.
Nach Angaben der Forscher handelt es sich im Prinzip um eine klassische Man-in-the-Middle-Attacke: Der Angreifer, in diesem Fall Honeybot, nimmt an einer Konversation zwischen menschlichen Usern teil, ohne dass diese wissen, dass es sich um das Computerprogramm eines Cyberkriminellen handelt.
Honeybot wertet die Informationen aus, die Teilnehmer im Rahmen eines Chats preisgeben: ihre Namen, aber auch Schlüsselbegriffe wie etwa »Fußball« oder »iPad«. Hier ein Beispiel dafür, wie die Begrüßungssequenz aussehen kann:
Bot zu Alice: Hi!
Alice zum Bot: hello
Bot zu Carl: hello
Carl zum Bot: hi there, how are you?
Bot zu Alice: hi there, how are you?
Alice zum Bot: ….
Der Bot erkennt anhand der Vornamen das Geschlecht der Chat-Teilnehmer und richtet automatisch die Konversation entsprechend aus. Um Attacken zu starken, greift das Programm auf unterschiedliche Techniken zurück:
Um sich nicht zu enttarnen, kontaktiert Honeybot niemals User, die Administratorstatus haben. Sobald die Software eine Nachricht von einem solchen Nutzer erhält, verzichtet es darauf, Links einzubauen oder Fragen zu stellen.
Die Forscher prüften im Rahmen eines Tests, wie Honeybot bei Chattern »ankommt«. Sie griffen dabei auf einen Chat-Kanal zu allgemeinen Themen und zwei Dating-Channels zurück.
Bei dem Test nahmen bis zu 78,4 Prozent der menschlichen Chat-Teilnehmer die Kommunikation mit dem Bot auf. Natürlich wussten die User nicht, dass sie in Wirklichkeit mit einer Maschine »sprachen«. Zwischen 18 und 60,1 Prozent klickten auf Tiny-URLs, Myspace-Profile oder IP-Adressen, die der Bot in die Diskussion einschmuggelte. Vor allem die Nutzer der Dating-Chat-Kanäle taten dies.
Die geringe Quote beim Standard-Chat-Kanal ist nach Angaben der Forscher auf die unkomfortable Bedienung des Java-Clients zurückzuführen. Es zwang die User beispielsweise, Myspace-Links nochmals von Hand einzugeben.