Mehr als 28 Prozent aller webbasierten Attacken werden mittlerweile mit dem Exploit-Kit „Blackhole“ ausgeführt. Mit dem mächtigen Tool bauen selbst wenig erfahrene Angreifer schädliche Websites, die Ihren PC beim Besuch infizieren können. Doch wie gelangen die Anwender auf diese manipulierten Websites? Das Vertrauen der Anwender in das Social Web macht es möglich.

Angreifer verstecken sich gerne in der großen Masse, um ihre Attacken unbemerkt auszuführen. Nichts eignet sich dafür besser als das Social Web. Das Social Web umfasst alle Web-Dienste, die soziale Beziehungen und Austausch ermöglichen.

Dies umfasst nicht nur das Kommunizieren und Interagieren, sondern insbesondere auch das Erstellen und Austauschen von medialen Inhalten. Typische Social-Web-Dienste sind Social Networks (z. B. XING, Facebook, Twitter) und Social-Media-Plattformen (z.B. Youtube, Google Picassa). Und diese Dienste sind überaus beliebt: Laut einer Studie von ComScore verbringen die Mitarbeiter im Unternehmen 16 Prozent ihrer Online-Zeit im Social Web – Tendenz stark steigend!

Und das hat einen einfachen Grund: Immer mehr Geschäftsneuigkeiten und Geschäftskontakte werden im Social Web verbreitet. Das Social Web ist keine private Sache mehr, es hat Geschäftsrelevanz. Diese starke Nutzungsfrequenz nutzen Angreifer, um Anwender auf präparierte Internetseiten zu bringen. Konkret haben wir in der Praxis vor allem folgende Verbreitungsszenarien beobachtet:

Verbreitung in öffentlichen Nachrichten, getarnt per Short-URL: In Social-Web-Diensten werden Deep-URLs typischerweise maskiert. Aus einer langen URL wird eine sogenannte  Short-URL. Das Ziel dieser URL ist nicht erkennbar, sodass die Anwender das eigentliche Ziel nicht erkennen. Angreifer veröffentlichen vermeintlich interessante Inhalte und statten sie mit einer solchen Short-URL aus.

Verbreitung in manipulierten Web-Feeds: Um schnell über Neuigkeiten im Social Web informiert zu werden, nutzen vor allem technisch visierte Anwender Web-Feeds. So können sie z. B. direkt beim Browser-Start die neuesten Meldungen sehen. Angreifer versuchen, in solchen Web-Feeds vermeintlich interessante Neuigkeiten einzuschleusen, die von den Anwendern dann geöffnet werden.

Verbreitung in privaten Nachrichten: Angreifer übernehmen digitale Identitäten und versenden vermeintlich vertrauenswürdige Nachrichten, z. B. Vertriebsanfragen, an ihre Opfer. Aufgrund des authentisch wirkenden Absenders vertrauen die Anwender der Nachricht und klicken etwaige Links an. Mit dieser Methode werden auch besonders häufig Spear-Phishing-Attacken durchgeführt. Dabei handelt es sich um Betrugsversuche, die den Unternehmenskontext des Opfers gezielt berücksichtigen.

Verbreitung mittels Fake-Applikationen: Social- Web-Dienste, wie z. B. Facebook, ermöglichen das Aktivieren von Zusatzfunktionen Dritter, sogenannten Apps. Diese Apps werden zwar vom Plattformbetreiber, also z. B. Facebook, geprüft, dennoch ermöglichen sie Angreifern immer wieder die Verteilung von Links zu schädlichen Plattformen. Getarnt als vermeintlich interessante Funktionen, werden die Apps von den Anwendern aktiviert. Da die Apps dann meist Zugriff auf das Benutzerprofil und die Kontakte des Anwenders erhalten, können Angreifer diese Daten gezielt für ihre Malware-Attacken verwenden.