Ein kürzlich veröffentlichtes Tool namens "FBPwn" kann mit wenigen Einstellungen vollautomatisch Daten von Facebook-Nutzern abgreifen. Dazu klont es die Identität von Freunden der Nutzer und schickt ihnen einen Friend Request. Nimmt das Opfer an, so ladet die Software binnen Sekunden alle einsehbaren Daten des Profils herunter.
Die Sicherheitsexperten von Imperva haben FBPwn unter die Lupe genommen. Erschaffen wurde die frei verfügbare Software demnach von den Technikern des ägyptischen Unternehmens Raya IT Security Services Team (RISST) http://rayacorp.com. Sie wollen damit auf die Möglichkeiten und Gefahren der Social-Engineering-Techniken der "Unterwelt" aufmerksam machen. Sie fordern dazu auf, das Programm nicht missbräuchlich zu verwenden. Auf Google Code steht die rund zehn Megabyte grosse Applikation zum Download bereit.
Experte Rob Rachwald, Director of Security Strateg von Imperva, erläutert die Gefahren, die FBPwn mit sich bringt. "Wie wertvoll die gespeicherten Daten sind, hängt davon ab, welche Inhalte die Facebook-User auf ihr Profil stellen", so der Fachmann. "Beispielsweise könnten Bilder von Frauen, die sich in suggestiven Posen ablichten, gesammelt und an Unternehmen im Pornogeschäft verkauft werden. Dieses Phänomen nennt sich 'E-Whoring'."
Ein weiteres Risiko ist möglicher Identitätsdiebstahl, der durch die Weitergabe persönlicher Kontaktdaten an böswillige Hacker erleichtert werden kann, sagt der Sicherheitsstratege. Das Potenzial dieser Bedrohung macht sich FBPwn auch selbst zunutze, indem es Profile von Facebook-Kontakten klont, um die Erfolgsrate bei Freundschaftsanfragen zu steigern. Eine Technik, die Rachwald für "sehr effektiv" hält. Wenig begeistert ist der Experte davon, dass RISST das Programm nebst Sourcecode frei zugänglich ins Web gestellt hat. "Es wäre besser gewesen, sie hätten eine Kopie als Proof-of-Concept an Facebook geschickt", meint er. Rachwald befürchtet, dass auf Basis des veröffentlichten Materials leistungsfähigere Programme entwickelt werden.
Doch er sieht auch das weltgrösste Social Network in der Pflicht, mehr zum Schutze seiner Anwender beizutragen. "Man muss die Nutzung von automatisierten Tools unterbinden, in dem man etwa Klickraten überprüft", fordert er. "Google macht das. Wer zu viele Suchanfragen in kurzer Zeit übermittelt, muss eine Frage beantworten um zu beweisen, dass er ein Mensch ist." Auch für die Nutzer hat er Sicherheits-Tipps parat. "Wir empfehlen, mit eigenen Daten in sozialen Netzwerken vorsichtig umzugehen. Wenn die veröffentlichten Informationen nicht so wichtig oder gar kompromittierend sind, ist der mögliche Schaden viel geringer."
