All rights reserved deu Herman, D. (Doris) 2012 Social Engineering <Sicherheit>; Onlinecommunity; Soziales Netzwerk St. Pölten, FH-Stg. Information Security, Master Thesis, 2012 Soziale Netzwerke, die Teil des Web 2.0 sind und auch „Mitmachinternet“ genannt werden, gewinnen immer mehr an Beliebtheit und dadurch auch an Bedeutung. Mit dieser Entwicklung ergeben sich aber auch neue Gefahren durch weiterentwickelte Angriffsformen. Durch diese sozialen Netzwerke hat sich auch die Angriffsform Social Engineering weiterentwickelt und stellt eine Gefahr für die Nutzer dieser Dienste dar. Diese Entwicklungen und neuen Möglichkeiten das soziale Netzwerk auszunützen werden in dieser Diplomarbeit näher erläutert. Für diese Arbeit wurden die derzeit populären sozialen Netzwerke Facebook und Twitter betrachtet. Als weiterer Punkt der Arbeit werden die Arten der Informationssammlung näher beschrieben. Diese Informationssammlung wurde durch die sozialen Netzwerke weiterentwickelt und zum Teil auch sehr vereinfacht. Social Engineers haben es im jetzigen Zeitalter viel leichter an Informationen heranzukommen, als dies noch vor einigen Jahren der Fall war. Heute gibt es schon zahlreiche Möglichkeiten, nützliche persönliche Informationen aus dem Web herauszufinden und hier spielen die sozialen Netzwerke eine bedeutende Rolle. Es war noch nie so einfach wie in der heutigen Zeit, an so viele persönliche Informationen mit so einfachen Mitteln und in so kurzer Zeit zu kommen. Natürlich wurden auch hier Entwicklungen gemacht, solche Informationen automatisch zu bekommen oder zu „ergaunern“, denn nur weil es möglich ist heißt es nicht, dass es auch erlaubt ist. Es werden einige Möglichkeiten zur automatischen Datensammlung in dieser Arbeit vorgestellt, von einer Vollständigkeit kann keine Rede sein, zumal es auch hier sicher täglich neue Formen gibt. Ein weiterer wichtiger Punkt der Arbeit ist die Darstellung, was die Nutzer wirklich in diesen Netzwerken eintragen und veröffentlichen. Hierfür werden Statistiken benutzt, die sehr gut veranschaulichen, welche Informationen veröffentlicht werden. Auch wenn viele Nutzer meinen die Informationen sind alle privat und können nur von den Freunden gesehen werden, so hat die Praxis schon oftmals bewiesen, dass dies nicht der Fall ist. Das Internet ist öffentlich und somit auch in gewisser Weise die Daten. Es gibt zahlreiche Möglichkeiten an die Informationen heranzukommen obwohl man nicht mit den Personen befreundet ist. Anschließend werden die Angriffsszenarien vorgestellt die am häufigsten benutzt werden und auf Social Engineering basieren. Hier hat sich herausgestellt, dass Identitätsdiebstahl, Cyber Mobbing und Phishing die Hauptangriffsszenarien sind, welche Mithilfe von sozialen Netzwerken und innerhalb von sozialen Netzwerken häufig betrieben werden. Auch diese Formen werden mittels Statistiken veranschaulicht. Auf diesen Ergebnissen basierend, wird anschließend ein Vorschlag für die Verwundbarkeitsdarstellung gemacht, um zu verdeutlichen, wie verwundbar die Nutzer sind, wenn sie persönliche Daten veröffentlichen. Auch wenn man die Nutzer nicht davon abbringen kann soziale Netzwerke zu nutzen, so sollte man wenigstens versuchen sie darauf hinzuweisen, mit diesen Medien behutsamer bzw. vorsichtiger umzugehen. Dieses Schulen bzw. Aufmerksam machen wird im letzten Kapitel „Maßnahmen“ dargestellt. Die Ergebnisse dieser Forschungsarbeit zeigen, wie gefährlich soziale Netzwerke sein können und wo man besonders aufpassen muss. Weiters werden Maßnahmen vorgeschlagen um die Gefahren möglichst gering zu halten bzw. um die Angriffe nicht so leicht zu ermöglichen. Die Kernaussage dieser Arbeit ist aber, dass man soziale Netzwerke sehr wohl nutzen kann, aber immer mit Vorsicht und zuerst überlegen was man schreibt. Social networks are part of the Web 2.0, are also called "participatory web" are getting more popular, and therefore also more important. This development leads to new risks, arising from new advanced forms of attack. The use of these new social networks resulted in new forms of social engineering attacks developed and represent a threat for the user of the social networks. These developments and new opportunities to capitalize the social network are explained in detail in this thesis. In this thesis the following popular social networks Facebook and Twitter are considered. An additional key aspect of this work is the detailed description of the types of information collection. This collection of information was further developed through the use of social networks and is getting much easier. For social engineers it is a lot easier to get information today, than it was a few years ago. Today there are many useful ways to find personal information in the Web and social networks play an important role. It was never as easy as it is today, to get so much personal information in such a short time. Also developments have been made to collect the information automatically or to grift the information, because that it is possible does not mean that it is allowed too. Part of this thesis is also the introduction of automated information collection. Due to the daily changing developments in this area the list is not exhaustive. Another important point of this work is to present what information users add and publish on these networks. Statistics are used to demonstrate which information is published. While many users think that all the information is private and can only be seen by the friends, the practice has been proven different in many cases. The Internet is public and therefore also the data. There are many possibilities to get the personal information also if you aren’t a friend of the person. Afterward the most commonly used attack scenarios are presented based on social engineering. At this point it turned out that identity theft, phishing and cyber mobbing are the major attack scenarios operated with the help of social networks and within social networks. Based on these results, the possible vulnerabilities are presented to illustrate how vulnerable the users are when they post personal information. Even if the users cannot be dissuaded to use social networks, they should be aware to handle social network with care and are careful with the information they provide. The results of this research should show how dangerous social networks can be and where special care should be taken. Additionally, measures are proposed in order to minimize the dangers and to minimize the target. The central argument of this work is that you can use social networks very well, but always with caution and consider first what you’ll write. http://phaidra.fhstp.ac.at/o:2093 application/pdf 4006328 bytes Text Social Engineering in sozialen Netzwerken