Manipulation von Online-Chats:
Wie Computer Chatter in die Falle locken
Forschern der Technischen Universität Wien ist es gelungen, eine der größten Hürden zu überwinden, die Online-Kriminelle bislang daran gehindert haben, die Online-Kommunikation in Internet-Chats erfolgreich zu manipulieren: das menschliche Gespür dafür, dass nicht eine Person, sondern ein Computer mit einem »spricht«.
Social Engineering umschreibt Verfahren, mit denen Cyberkriminelle ihre Opfer dazu bringen, vertrauliche Daten herauszugeben. Bewährte Hilfsmittel sind unter anderem E-Mails, die angeblich von Arbeitskollegen oder Freuden stammen.
Mit Honeybot gelang es Forschern, Chatter dazu zu bringen, auf bösartige Web-Seiten zu gehen. (Foto: Pixelio.de/motograf)
Mittlerweile setzen Angreifer immer stärker auf Social-Networking-Plattformen, um an verwertbare Daten zu kommen und Opfer dazu zu bringen, Schadsoftware (»Schau Dir mal dieses Video an!«) auf ihre Rechner herunter zu laden. Die Kontaktaufnahme erfolgt häufig mit Verweis auf angebliche gemeinsame »Freunde«.
Ein Nachteil von Social Engineering: Es ist relativ aufwändig. Doch das könnte sich nun ändern. Forscher der Technischen Universität Wien haben im Rahmen des Projekts Eurecom nachgewiesen, dass sich Social-Engineering-Angriffe automatisieren lassen, die über Instant-Messaging-Dienste laufen.
Hier spricht »Honeybot«!
Die Fachleute haben ein Computerprogramm namens Honeybot entwickelt. Es klinkt sich in Online-Chats ein und animiert die Teilnehmer dazu, auf Web-Links zu klicken. Solche Web-Adressen könnten zu Sites führen, über die Schadsoftware auf die Rechner der Opfer übertragen wird.
Nach Angaben der Forscher handelt es sich im Prinzip um eine klassische Man-in-the-Middle-Attacke: Der Angreifer, in diesem Fall Honeybot, nimmt an einer Konversation zwischen menschlichen Usern teil, ohne dass diese wissen, dass es sich um das Computerprogramm eines Cyberkriminellen handelt.
Honeybot wertet die Informationen aus, die Teilnehmer im Rahmen eines Chats preisgeben: ihre Namen, aber auch Schlüsselbegriffe wie etwa »Fußball« oder »iPad«. Hier ein Beispiel dafür, wie die Begrüßungssequenz aussehen kann:
Bot zu Alice: Hi!
Alice zum Bot: hello
Bot zu Carl: hello
Carl zum Bot: hi there, how are you?
Bot zu Alice: hi there, how are you?
Alice zum Bot: ….
Der Bot erkennt anhand der Vornamen das Geschlecht der Chat-Teilnehmer und richtet automatisch die Konversation entsprechend aus. Um Attacken zu starken, greift das Programm auf unterschiedliche Techniken zurück:
- Es greift Keywords auf, die im Verlauf des Chats auftauchen und weist die Teilnehmer auf eine angeblich interessante Web-Seite zu dem Thema hin,
- es platziert nach dem Zufallsprinzip Links oder
- der Bot ersetzt Web-Adressen, die andere Teilnehmer veröffentlichen, durch eigene.
Um sich nicht zu enttarnen, kontaktiert Honeybot niemals User, die Administratorstatus haben. Sobald die Software eine Nachricht von einem solchen Nutzer erhält, verzichtet es darauf, Links einzubauen oder Fragen zu stellen.
Experiment verlief erfolgreich
Die Forscher prüften im Rahmen eines Tests, wie Honeybot bei Chattern »ankommt«. Sie griffen dabei auf einen Chat-Kanal zu allgemeinen Themen und zwei Dating-Channels zurück.
Bei dem Test nahmen bis zu 78,4 Prozent der menschlichen Chat-Teilnehmer die Kommunikation mit dem Bot auf. Natürlich wussten die User nicht, dass sie in Wirklichkeit mit einer Maschine »sprachen«. Zwischen 18 und 60,1 Prozent klickten auf Tiny-URLs, Myspace-Profile oder IP-Adressen, die der Bot in die Diskussion einschmuggelte. Vor allem die Nutzer der Dating-Chat-Kanäle taten dies.
Die geringe Quote beim Standard-Chat-Kanal ist nach Angaben der Forscher auf die unkomfortable Bedienung des Java-Clients zurückzuführen. Es zwang die User beispielsweise, Myspace-Links nochmals von Hand einzugeben.
Gegenmaßnahmen
Den Forschern gelang es zudem, mithilfe von Honeybot sich in Konversationen auf Facebook einzuschalten und private Informationen der Teilnehmer abzufangen. Diese Attacke ließe sich nach Angaben der Fachleute noch verfeinern, wenn geklonte Profile von User zum Einsatz kämen.
Als Gegenmaßnahmen kommt nach Angaben der Forscher in Betracht, Link-Spamming zu unterbinden. Dies könnte der Chat-Server tun, indem er Links blockiert. Allerdings würde das viele legitime Nutzer vor den Kopf stoßen und die Attraktivität entsprechender Services drastisch senken.
Stammt diese Mitteilung nun von unserem Kollegen Andreas Raum oder einem Bot? Bei einem Test mit Honeybot gelang es den Wiener Forschern, auch Facebook-User hinters Licht zu führen.
Eine weitere Möglichkeit besteht darin, den Server prüfen zu lassen, ob dieselbe Nachricht mit demselben Link mehrfach versendet wurde. Dies ist jedoch aufwändig und kostet Rechenleistung. Zudem kann ein Angreifer Nachrichten mit Links so variieren, dass sie von Suchroutinen nicht erkannt werden.
Auch Nutzer von Chat- und Messaging-Systemen sowie Social-Networking-Diensten können einiges tun, damit solche Angriffe ins Leere laufen, etwa indem sie nur Kontaktanfragen von ihnen bekannten Personen akzeptieren. In der Realität tendieren nach Angaben der Eurecom-Forscher jedoch viele Nutzer von Myspace, Facebook et cetera dazu, auch Unbekannte zu ihrer Freundesliste hinzuzufügen.
Zudem lassen sich solche Vorsichtsmaßnahmen mittels geklonter Profile aushebeln, über die Einladungen ausgesprochen oder Nachrichten verschickt werden.
Technische Schutzverfahren helfen nur bedingt
Das Fazit der Forscher: Jede technische Schutzmaßnahme gegen automatisierte Social-Engineering-Attacken lässt sich unterlaufen. Dennoch sollten solche Verfahren implementiert werden, weil sie dem Nutzer von Chats oder Social-Networking-Plattformen dabei helfen, derartige Angriffe zu blockieren.
Allerdings müssten auch die Nutzer das Ihrige dazu beitragen, etwa indem sie nicht allzu vertrauensselig mit den genannten Medien umgehen.
Erst denken, dann klicken
»Man muss kein Prophet sein, um vorauszusehen, dass diese Technik schon sehr bald Teil der Methoden von Cyberkriminellen sein wird«, warnt Rik Ferguson, Senior Security Advisor bei der Sicherheitsfirma Trend Micro [1]. »User sollten lieber zehn Mal nachdenken, bevor sie auf einen Link in einem Online-Chat klicken.«
Zudem, so der Rat von Ferguson, sollten Internet-Nutzer eine Sicherheitslösung einsetzen, die in der Lage ist, bösartige Webadressen gleichsam in Echtzeit zu erkennen und zu blockieren, zum Beispiel durch Hilfe von Reputationsdiensten.
Die Studie steht auf dieser Web-Seite der TU Wien [2] zum Herunterladen bereit.
[1] http://www.trendmicro.de/
[2] http://seclab.tuwien.ac.at/papers/autosoc-leet2010.pdf
- 1. Seite: Wie Computer Chatter in die Falle locken
- 2. Seite: Gegenmaßnahmen
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
