Das Java-Tool Facebook Pwn generiert mittels eines Fake-Accounts Freundschaftsanfragen an alle Kontakte des Opfers. Anschließend wählt das Tool einen Kontakt zufällig aus, dessen Identität angenommen werden soll und übernimmt Namen sowie Profilfoto für den Fake-Account. So getarnt sendet das Tool dem Opfer eine Freundschaftsanfrage, welche augenscheinlich einen vertrauten Namen, Foto und eine Liste gemeinsamer Freunde aufweist.

Wird die Anfrage von dem Opfer bestätigt, werden die persönlichen Daten und Fotos des Opfers heruntergeladen und auf einen externen Speicher gesichert. Dieses Vorgehen erhält dem Angreifer Zugriff auf die Daten, da auch bei einer Löschung der Freundschaft die Daten bereits kopiert wurden und weitere gezielte Angriffe wie Spear Phishing oder Stalking werden so ermöglicht.

-- S. Hatje (ULD SH)