Cyberbedrohungen
Gefahr für biometrische Muster in Social Media
Online gestellte Fotos, Videos und Audiobeiträge geben sensible biometrische Muster preis, die von Cyberkriminellen missbraucht werden können. Diese Muster sind praktisch unveränderlich und können bei zukünftigen Angriffen verwendet werden.
Save to Folio
Das Veröffentlichen von Beiträgen in sozialen Medien ist nicht nur für Privatpersonen, sondern auch für Unternehmen und Regierungen auf der ganzen Welt zum Alltag geworden. Für manche ist es ein Werkzeug, um persönliche Momente und Gedanken mitzuteilen, für einige Profis bedeutet es eine Möglichkeit, Geld zu verdienen. Für Unternehmen und Organisationen wiederum sind soziale Medien zu einer Plattform für Werbung und Veröffentlichung von Updates geworden. In den letzten Jahren hat sich die Qualität der öffentlichen Beiträge, insbesondere derjenigen, die Bilder und Videos enthalten, erheblich verbessert. Leider geben wir durch das Teilen persönlicher Medieninhalte in hoher Auflösung ungewollt auch sensible biometrische Muster preis. Besonders gefährlich ist dies, weil sich die Nutzer darüber nicht bewusst sind, was sie damit preisgeben. Durch Social-Media-Trends und beliebte Wettbewerbe, wie z. B. zu Makeup, Basteln, Bauen und Gesang, kann der Einzelne unveränderliche persönliche Daten veröffentlichen, die gegen ihn verwendet werden können. Einige Beispiele:
Ein #makeup-Video gibt das Gesicht, die Iris, Ohren, Stimme und Handfläche preis.
- In der Regel verwenden die Content-Autoren hochwertige Kameras und Beleuchtungsgeräte, während viele Lifestyle- und Schönheitsexperten auf Nahaufnahmen setzen. Diese Arten von Videos können viele verschiedene biometrische Muster offenbaren.
- Böswillige Akteure könnten mit einem hochauflösenden Video des Gesichts folgende Aktionen durchführen: Gesicht und Stimmmuster verwenden, um eine Deepfakce-Persona zu erstellen oder ein Konto übernehmen, das eine Stimmauthentifizierung erfordert (z. B. Aussprechen einer Wortfolge aus einer Liste oder Aussprechen einer zufälligen Wortfolge zur Authentifizierung), oder eines, das Gesichtserkennung zur Authentifizierung verwendet.
Ein #professionelles Bild zeigt das Gesicht, die Form des Ohres und die Fingerabdrücke einer Person. Hochwertige Bilder erleichtern es böswilligen Akteuren, biometrische Merkmale zur Überprüfung und Identifizierung zu erfassen.
Täter können Teile von hochauflösenden Fotos, wie sie bei professionellen Veranstaltungen verwendet werden, vergrößern, um verwertbare biometrische Daten zu erhalten. Auf dem Bild sind zum Beispiel die Fingerabdrücke deutlich zu erkennen. Die Ohrform ist ein weiteres Beispiel. Sie wird zwar nicht häufig zur Authentifizierung verwendet, kann aber zum Abgleich von Personen mit CCTV-Kamerabildern genutzt werden.
Metadaten auf professionellen Bildern können auch mehr Informationen über ein Ziel liefern, was die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöht. Abgesehen von sozialen Medien werden Bilder oft auf Unternehmensportalen oder Nachrichtenseiten veröffentlicht, und diese Bilder enthalten in der Regel spezifische Details über die Personen auf den Fotos.
Weitere Beispiele beinhaltet der Originalbeitrag.
Manche Geräte von Nutzern sind leider so gut, dass Kriminelle verwendbare Fingerabdrücke kapern können. Dies ist besonders gefährlich, weil Fingerabdrücke inzwischen zur Verifizierung vieler Geräte (vom privaten Smartphone bis zum Firmenlaptop) und Konten eingesetzt werden. In einigen Ländern kann man sogar mit Fingerabdruck für Waren und Dienstleistungen bezahlen.
Diese persönlichen Daten sind öffentlich zugänglich und werden in vielen Fällen aktiv beworben, um ein möglichst großes Publikum zu erreichen. Im Falle von Prominenten werden diese Videos und Bilder von Millionen von Menschen angesehen. Die Besitzer dieser biometrischen Merkmale haben jedoch nur eine sehr begrenzte Kontrolle über die Verbreitung. Sie wissen nicht, wer auf die Daten zugegriffen hat, wie die Inhalte verwendet wurden oder wie lange die Daten gespeichert werden.
Auswirkungen
Biometrische Daten werden seit langem für Sicherheitszwecke verwendet, von der Verbrechensaufklärung und Forensik bis zum Zugang zu geschützten Gebäuden. Mittlerweile nutzen Hunderte von Millionen Menschen täglich Gesichtserkennung und Fingerabdruck-Scanner. Das bedeutet, dass all diese Menschen auch von Schwachstellen und Lücken in den Technologien und Verfahren betroffen sein könnten, die ihre biometrischen Datenmuster verwenden.
Neben den bereits genannten Szenarien gibt es noch andere Risiken bei der Veröffentlichung biometrischer Daten in sozialen Medien:
- Betrug durch Messaging und Impersonation. Unter Verwendung biometrischer Daten und Informationen aus sozialen Medien könnte jemand die Freunde und die Familie des Opfers kontaktieren und betrügen.
- Business Mail Compromise. Angreifer können Deepfakes in Anrufen verwenden und sich für Geldüberweisungen als Mitarbeiter oder Geschäftspartner ausgeben.
- Erstellung neuer Konten. Kriminelle können offengelegte Daten nutzen, um Identitätsprüfungsdienste zu umgehen und Konten bei Banken und Finanzinstituten, möglicherweise sogar bei staatlichen Stellen, einzurichten. Diese könnten sie für ihre eigenen bösartigen Aktivitäten nutzen.
- Erpressung. Mithilfe der in sozialen Medien veröffentlichten biometrischen Daten können Angreifer effektiveres Material für Erpressungen erstellen.
- Desinformation. Böswillige Akteure können Fakes prominenter Persönlichkeiten verwenden, um die öffentliche Meinung zu manipulieren. Diese Machenschaften können durchaus finanzielle, politische und sogar rufschädigende Auswirkungen haben.
- Kapern von Geräten. Angreifer können Internet-of-Things-Geräte oder andere Geräte, die mit Sprach- oder Gesichtserkennung arbeiten, stehlen oder deren Kontrolle übernehmen.
Neben biometrischen Mustern gibt es einzigartige nicht-biometrische Merkmale, die zur Identifizierung oder Profilierung von Personen verwendet werden könnten. Dazu gehören etwa Muttermale oder Tätowierungen, aber auch solche wie Kleidung und Accessoires. Diese Merkmale können zur Erstellung von Profilen über den sozialen Status, die ethnische Zugehörigkeit und das Alter verwendet werden.
Biometrische Daten werden auf vielen verschiedenen Plattformen und über viele verschiedene Medientypen veröffentlicht. Wir sehen diese Muster öffentlich in Messaging-Apps (z. B. in Gruppenchats auf Telegram), auf Social-Media-Plattformen, auf Regierungs- und Unternehmensportalen sowie in Nachrichten- und Medienkanälen.
Was tun?
Eines der Probleme mit biometrischen Daten besteht darin, dass sie - anders als ein Passwort - kaum zu ändern sind, wenn sie einmal offengelegt wurden. Es handelt sich quasi um lebenslange Passwörter, die ein Angreifer auch noch in fünf oder sogar zehn Jahren verwenden kann, wenn sie erst einmal öffentlich zugänglich sind.
Unsere Empfehlung an Nutzer lautet, für die Authentifizierung oder Überprüfung sensibler Konten weniger exponierte biometrische Muster (wie Fingerabdrücke) zu verwenden. Es wäre auch besser, die Qualität der online veröffentlichten Medien zu verringern oder sogar bestimmte Merkmale unkenntlich zu machen.
Für Organisationen, die biometrische Muster verwenden, gibt es drei grundlegende Faktoren für die Überprüfung: etwas, das der Benutzer hat, etwas, das der Benutzer weiß, und etwas, das der Benutzer ist. Wenn diese Faktoren zusammen mit sehr spezifischen, für jedes Konto definierten „Dingen“ verwendet werden, können sie für die Authentifizierung und Überprüfung immer noch effektiv sein. Schließlich sollte die Multifaktor-Authentifizierung (MFA) für jedes Unternehmen, das mit sensiblen Daten und Informationen arbeitet, zum Standard gehören.
Weitere Details zum Thema liefert unser Bericht „Leaked Today, Exploited for Life: How Social Media Biometric Patterns Affect Your Future“.