Eine recht fiese Phising-Variante vermeldet Inside Facebook: Der Scammer hat die Zugangsdaten eines Facebook-Kontos ermittelt, über die interne Chat-Funktion Kontakt zu jemanden in der Freundesliste aufgenommen und nach Geld gefragt.
Geknackte Konten bei Social Networks wurden in erster Linie bisher dazu benutzt, um mit Hilfe von Scripten per Kommentarfunktion und Mail Spam zu verteilen und Links zu verbreiten. Das Problem scheint mittlerweile weitgehend gebannt zu sein. Ich kann mich nicht mehr daran erinnern, in den letzten Monaten mit Spam belästigt wurden zu sein. MySpace zum Beispiel fordert die Bestätigung eines CAPTCHA, wenn es ein ungewöhnliches Verhalten feststellt.
Bei obigen Phishing-Versuch hingegen sitzt ein Mensch am Rechner. Klassische Abwehrmechanismen funktionieren nicht mehr, da sie von scriptbasierten, automatisierten Angriffen ausgehen.
Menschliche Angreifer bedeuten natürlich auch, dass Massenphishing kaum möglich ist. Andererseits sollte ein geübter Chatter problemlos 10 Leute gleichtzeitig beschäftigen können, man sollte das Problem nicht unterschätzen.
Nun mag es seltsam scheinen, fast unmöglich, dass jemand Fremdes so einfach einen Chat führen kann, und sich als Bekannten oder Freund ausgibt. Den Test kann aber jeder selbst machen: Gehe zu einem Freund, logg dich unter seinem Namen ein und warte wie lange es dauert, bis dein Gesprächspartner misstrauisch wird. Ich schätze, es wird minimal eine halbe bis eine Stunde dauern. Wer geschickt ist, wird gar nicht entdeckt.
Richtig ist, wer dabei einen vollkommenen Fremden anspricht, wird es schwerer haben. Aber wer ein Facebook-Konto geknackt hat, hat auch Zugriff auf dessen Nachrichten. Ein Blick auf die Fotos und Interessen des potenziellen Scamming-Opfers und schon hat man einige Basis-Daten. Das reicht um bei geschickter Gesprächsführung das Opfer einzuwickeln.
Riskant wird es für den Täter erst, wenn er zu ungeduldig wird. Wer im zweiten Satz bereits um Geld bittet, wird scheitern. Vor allem sollte er als erstes herausfinden, ob die Person überhaupt über das Geld verfügt und zweitens, ob er tatsächlich auch in der Situation ist, das Geld überweisen zu wollen bzw. zu müssen.
Es ist kein Problem das den Facebook-Chat allein betrifft, der MySpace-IM nutzt ebenfalls die Kontodaten der regulären MySpace-Seite.
In Deutschland werden wir noch einige Zeit von diesem Problem geschützt sein - dank der Sprachbarriere. Aber ohne Zweifel dürfte es auch in Deutschland potenzielle Täter geben. Und einen technischen Schutz gibt es dagegen nicht, allein das eigene Misstrauen hilft.