Ulrike Peter, Senior Vice President der Sprengel & Partner GmbH, hat erlebt, wie schnell man einer derartigen Attacke zum Opfer fallen kann: "Ich telefonierte mit Marco Di Filippo von Compass Security und er schickte mir dabei eine E-Mail mit dem Link https://www.xing.com/..., in der er ein Angebot bei Xing suggerierte. Es öffnete sich nach dem Anklicken die übliche XING-Anmeldemaske und ich habe mich wie gewohnt in meinen Account eingeloggt. Nachdem ich dies getan hatte, las er mir mein Passwort vor. Ich war völlig perplex." Dieses Beispiel diente Demozwecken, verdeutlicht aber die Brisanz sowie die möglichen Folgen. Der Angreifer, der durch eine derartige "Man in the Middle-Attacke" an ein Passwort oder weitere Daten gelangt, könnte sich so z.B. auch Zugriff zu weiteren Accounts des jeweiligen Users verschaffen. Denn die meisten Menschen neigen dazu, immer das gleiche Kennwort zu verwenden. Gleichzeitig könnten die Angreifer eine Vielzahl solcher Links im Web 2.0 oder bei Google streuen und unbedarfte User würden sie bedenkenlos nutzen.
Der Wegbereiter sind typische Schwachstellen in Social Networks, die sich mit denen anderer Web-Applikationen decken. Die in vorherigem Fall angewandte Angriffsmethode nennt sich Redirecting-Attacke und lässt sich auf alle möglichen Plattformen übertragen, für die eine Authentifikation notwendig ist. Weitere WepApp-Schwachstellen (siehe http://www.owasp.org/...) erlauben die Ausführung diverser Skripts, um User-Sitzungen zu "stehlen", Websites zu verunstalten, Malware zu installieren etc.
Marco Di Filippo, Regional Director Germany bei Compass, erklärt: "Ursache sind die zum Teil fehlerhaften und unsicheren technologischen Umsetzungen dieser Internetdienste bzw. Web-Applikationen. Programmierer konzentrieren sich bei der Entwicklung häufig primär auf die Funktionalität, anstatt auf die Security. Neben den seit Jahren bekannten Schwachstellen werden zunehmend neue Verwundbarkeiten entdeckt, die es Angreifern beispielsweise erlauben, auf nicht freigegebene Informationen zuzugreifen." Vor wenigen Wochen wurde z.B. die Internetseite von Wolfgang Schäuble und des FC Schalke gehackt. Auf letzterer wurde eine Meldung platziert, die besagte, dass Kevin Kurani von seinen vertraglichen Pflichten entbunden wurde und vom Verein mit sofortiger Wirkung freigestellt worden sei. Wie sich herausstellte, war hierfür eine Sicherheitslücke im Content-Management-System Typo3 (SQL-Injection-Lücke) verantwortlich.
Diese Art Schwachstellen machen sich Angreifer zu Nutze. Als ICT-Sicherheits-Dienstleister entdeckt Compass regelmäßig neue Angriffsszenarien und macht durch Live-Demos sowie Web Application Security-Tests auf die Gefahren aufmerksam, um so zu deren Beseitigung beizutragen.