Social Media Scraper im Einsatz – Wie Kriminelle hoch personalisierte Phishing-Attacken vor - Prof. Dr. Norbert Pohlmann

J. Hörnemann, J. Parol, N. Pohlmann:
„Social Media Scraper im Einsatz – Wie Kriminelle hoch personalisierte Phishing-Attacken vorbereiten“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag,
3/2021

Social Media Scraper im Einsatz
Social Engineering ist ein zunehmend beliebter Angriffsvektor, der von Kriminellen verwendet wird, um erfolgreich Menschen zu manipulieren. Das Ziel ist es vordergründig Personen anzugreifen und nicht die IT-Systeme, die sie nutzen. Dazu sammeln die Kriminellen so viele Informationen wie möglich über ihre menschlichen Vorlieben und Interessen. Social-Media-Portale sind dazu eine gute Informationsquelle. In diesem Projekt wird die Vorgehensweise einer entwickelten Software beschrieben, die automatisch einen Link einer Person von offiziellen und seriösen LinkedIn-Profilen zu den privaten Accounts auf Instagram findet. Durch diese Automatisierung und die Analyse der veröffentlichten Inhalte kann eine Risikoeinschätzung gegeben werden, wie viele berufliche und persönliche Informationen für einen erfolgreicheren Social-Engineering-Angriff genutzt werden könnten.

Hintergrund
Soziale Netzwerke spielen in der heutigen Gesellschaft eine immer wichtigere Rolle. Instagram hat bereits über 1 Milliarde Nutzer weltweit. Viele dieser Nutzer legen entweder wenig Wert auf den Schutz ihrer Privatsphäre oder betreiben nur einen geringen Aufwand, diese angemessen einzustellen. Zu viele Nutzer haben ihr Instagram-Account öffentlich gestellt, sodass neben Bekannten und Freunden auch alle anderen Nutzer das Profil einsehen können. Über die Website “Searchusers” ist es sogar möglich, öffentliche Profile ohne Account einzusehen und so Informationen für einen Social-Engineering-Angriff zu sammeln. Da auf Instagram viele Bilder gepostet werden, geben viele dieser Nutzer, die keine ausreichenden Privatsphäre-Einstellungen haben, viel von sich preis. Solche Nutzer sind prädestiniert, Opfer von Phishing– oder insbesondere Spear-Phishing-Angriffen zu werden. Angreifer haben leichtes Spiel über die öffentlich zugänglichen Informationen Profile über ihre potenziellen Opfer zu erstellen und somit gezielt Spear-Phishing-Angriffe auszuführen.

Darüber hinaus setzt sich “Social Engineering” immer mehr durch, da der Zugang zu Nutzerinformationen einfach möglich ist.
Unser Ziel in diesem Projekt ist es, automatisiert Nutzer zu identifizieren, bei denen berufliche und private Informationen gefunden werden können. Damit soll die Wahrscheinlichkeit für Spear-Phishing-Angriffe auf gefundenen Nutzerprofilen anhand einer Gewichtung abgeschätzt werden.

Um diese Gewichtung zu erstellen, werden private Instagram-Konten von Personen mithilfe der Gesichtsanalyse gefunden. Viele Personen geben in beruflichen Netzwerken nicht viele private Informationen preis, da es sich um seriöse Netzwerke handelt. Bei privaten Profilen in Sozialen-Netzwerken laden Personen hingegen beispielsweise gerne Bilder von Urlauben oder besonderen Erlebnissen hoch. Ebenfalls kommentieren viele Nutzer Beiträge mit ihrer eigenen Meinung oder teilen Beiträge mit für die Person interessanten Inhalten. Damit geben diese Personen mehr Informationen über sich Preis, als sie im ersten Moment denken. Wenn von einer interessanten Person ein privates Profil in einem anderen Sozialen-Netzwerk gefunden wird, können eben jene Informationen gefunden und verwendet werden. In dem hier behandelten Projekt wurde der Versuchsaufbau mit dem Sozialen-Netzwerk Instagram umgesetzt. Der Link zwischen einem beruflichen und sozialen Netzwerk wird mithilfe des Namens und/oder des Profilbildes aufgebaut, auf denen eine automatische Gesichtsanalyse ausgeführt wird.

Durch diese Verknüpfung von privaten und beruflichen Profilen können insgesamt viele hilfreiche Informationen gefunden werden, wie zum Beispiel der Arbeitgeber, Position im Unternehmen, aber auch das Lieblingshobby, die Familienkonstellation usw. Um diese unterschiedlichen Informationen zu erhalten, wurde die Verknüpfung von privaten und beruflichen Accounts gewählt, da so die gewonnenen Informationen über eine Zielperson am detailliertesten sind.

Wie wichtig solche persönlichen Profile auf Sozialen-Netzwerken sind, zeigen die für 2019 geschätzten Umsätze der beiden Unternehmen LinkedIn und Instagram. LinkedIn ist mit 6,7 Milliarden US-Dollar Umsatz das größte berufliche Netzwerk weltweit. Aber auch Instagram, das seit 2012 zum Facebook-Konzern gehört, erwirtschaftet mit 14 Milliarden US-Dollar im Jahr 2019 doppelt so viel Umsatz wie LinkedIn. Diese hohen Umsätze zeigen, wie relevant sowohl seriöse Berufsplattformen als auch private Soziale-Netzwerke sind.

Methodik
Das Projekt wurde Social-Media-Scraper genannt, das aus einer Python-Anwendung besteht, die Nutzer (Personen) anhand ihres Firmennamens findet und versucht, anhand ihrer Profilbilder eine Verbindung zu einem Instagram-Konto herzustellen. Innerhalb des Projekts wurden zwei ähnliche Wege durchgeführt, um dies zu erreichen. Ein Weg ist die Suche nach den Namen der einzelnen Mitarbeiter und der andere ist die Überprüfung der Follower eines Unternehmens auf Instagram.

…

Zusammenfassung
Das Sammeln von Informationen ist für einen Social Engineering Angriff sehr hilfreich, da solche beruflichen und privaten Sachverhalte das Vertrauen des Opfers wecken. Durch eine Phishing-E-Mail versuchen zum Beispiel die Angreifer das Opfer dazu zu bewegen, dass dieses einen gefährlichen Anhang oder einen unbekannten Link öffnet, um Malware z. B. auf das Notebook zu laden. Diese Szenarien funktionieren jedoch nur, wenn die Leidtragenden dem beschriebenen Inhalt der Spear-Phishing-E-Mail glauben bzw. vertrauen. Durch genug Informationen wie bspw. den Aufenthaltsort, den Lieblingsverein oder weitere persönliche Interessen und Vorlieben, kann der Angreifer genau dieses Vertrauen gewinnen.

Wir haben mit diesem Projekt gezeigt, dass es mit dem von uns entwickelten Tool möglich ist, private und berufliche Informationen einer interessanten Person im Berufsnetzwerk LinkedIn mit einem Link zum Sozialen-Netzwerk Instagram zu finden. Solch ein Link kann dazu führen, dass Angreifer viele hilfreiche Informationen über die Person sammeln und diese in einem Angriff verwenden können.

Daher sollten sich Personen überlegen, was sie auf beruflichen und privaten Accounts veröffentlichen. Besonders ratsam ist es vor allem, das private und persönliche Profil auf Instagram, Facebook etc. auf privat zu stellen, da so keine fremden Personen Einblicke in das persönliche Leben haben können.

Die ersten Testergebnisse des Social-Media-Scraper sind vielversprechend, jedoch noch zu verbessern. Die angesprochenen Tests belaufen sich zurzeit auf kleinere Testdatensätze, in denen Verschiebungen auftreten könnten, wie z. B. das männliche Gesichter besser erkannt werden können als weibliche. Um solche Verschiebungen festzustellen und somit detaillierte Ergebnisse präsentieren zu können, wird diese Software stetig weiterentwickelt und getestet.

Im Vergleich zu anderen Arbeiten, die andere Software zur Analyse und Auswertung von Gesichtern verwenden, schneidet der Social-Media-Scraper mit einer Erkennungsrate von über 89 % in den ersten Testläufen gut ab.

Informationen über das Lehrbuch: „Cyber-Sicherheit“