Shah Mahmood und Yvo Desmedt vom University College London spielten ein wenig mit den Möglichkeiten von Facebook herum und entdeckten dabei eine einfache Möglichkeit, User auszuspähen, ohne dass diese davon etwas merken. Der Trick ist kinderleicht anzuwenden und nutzt eine Eigenheit von Facebook, die auf den ersten Blick gar nicht als Sicherheitslücke ins Auge fällt. Allerdings funktioniert er - wie viele Hacker-Tricks - nur bei unaufmerksamen Usern.
Unsichtbarer "Freund" als Großer Bruder
Die beiden Forscher Mahmood und Desmedt nennen ihren Trick "Deactivated Friend Attack", weil sie auf einem zeitweise deaktivierten Facebook-Account beruht, den der Angreifer in die Freundesliste des Spähziels gemogelt hat. Der Trick ist einfach und kann ohne besondere IT- Kenntnisse eingesetzt werden.
Die Vorgehensweise: Der Angreifer erstellt sich einen Facebook-Account unter falschem Namen und schickt dann Freundschaftsanfragen an alle möglichen Leute. Diese kann er natürlich auch nach bestimmten Kriterien auswählen, wenn er zum Beispiel Informationen über Menschen mit bestimmten Merkmalen haben möchte, um etwa deren persönliche Daten als qualifizierte Adressen zu verkaufen. Den beiden Erfindern der Deactivated Friend Attack gelang es beispielsweise ohne weiteres, Kontakt zu etwa 4300 Facebook-Benutzern herzustellen.
Wenn seine Freundschaftsanfragen akzeptiert sind, verschwindet der neue "Freund" der so geleimten User in der Versenkung, indem er seinen Account deaktiviert. Dabei bleiben seine Daten jedoch erhalten und er kann seinen Zugang jederzeit wieder reaktivieren. Da er mit einem deaktivierten Account nicht in den Freundeslisten seiner Opfer erscheint, können diese weder auf die Idee kommen, sich zu fragen, was das eigentlich für ein unbekannter Kontakt sei, noch ihn wieder daraus löschen.
Nun braucht der "Deactivated Friend" lediglich ab und zu seinen Account für so lange zu reaktivieren, wie er benötigt, um die jeweils neu hinzugekommen Daten seiner Opfer abzugreifen. Vorzugsweise wird er das zu Zeiten tun, in denen sehr wenige der Betroffenen online sind, etwa in den frühen Morgenstunden. Auf diese Weise lassen sich sowohl gezielt die Facebook-Aktivitäten bestimmter User ausspähen, als auch Daten über eine größere Anzahl von Menschen gewinnen.
Es funktioniert nur bei leichtsinnigen Leuten
Genauso einfach wie die "Deactivated Friend Attack" selbst ist aber auch das Gegenmittel: Wer lediglich Kontaktanfragen akzeptiert, bei denen er genau weiß, von wem sie kommen, der ist gegen das Ausspähen durch den "unsichtbaren Freund" gefeit. Das aber hat dieser Trick mit vielen Hacker-Methoden gemeinsam: Er setzt auf die Unvorsichtigkeit von Netznutzern, die beispielsweise auch auf dubiose Links klicken oder sogar Programme aus unbekannter Quelle starten, wenn ihnen nur irgendetwas verheißen wird, das sie gerne haben möchten.
