Klick-Betrüger nehmen Facebook ins Visier

Berlin - Mit seinen rund 600 Millionen Nutzern wird Facebook zu einem lukrativen Ziel für Online-Kriminelle. Die aktuelle Masche: Links zu vermeintlichen Spaß- oder Schock-Videos. Wer klickt, verbreitet Spam und bringt seinen eigenen Rechner in Gefahr.

Es ist eine perfekte Falle: Auf Facebook kursieren immer mehr Links, die lustige oder spannende Videos versprechen. Reißerische Titel verführen zum Klicken: Die Köder sind etwa “erschreckende Bilder“ über Moslems, die Verhaftung von Christina Aguilera, oder der Abtransport des vermeintlich gestorbenen Charlie Sheen. Wer nicht widerstehen kann, bekommt allerdings kein Filmchen zu sehen, sondern verbreitet Spam und verseucht mit Pech seinen eigenen Rechner mit Viren. Das Perfide: Die Hinweise auf die spektakulären Inhalte scheinen von einem Facebook-Bekannten zu kommen.

Wieso sollte man also nicht reinschauen? Klicken Nutzer auf das Video, lösen sie einen unsichtbaren “Gefällt mir“-Button von Facebook aus. Wenn sie in dem Online-Netzwerk eingeloggt sind, erscheint automatisch eine Meldung auf der Pinnwand aller Kontakte - der Nutzer wird zur “Spam-Schleuder“, ohne es zu merken. Facebook hatte die Funktionalität des Knopfs mit dem erhobenen Daumen kürzlich erweitert. Ein Klick kommt dadurch deutlich prominenter zur Geltung - im Fall der Videos ist etwa ein Link inklusive Screenshot zu sehen. Optisch sind die manipulierten Verweise nicht zu erkennen. Ausgangspunkt des Angriffs ist eine manipulierte Website.

Surfer sehen dort das Startbild des vermeintlichen Videos. Was sie nicht bemerken: Darüber liegt ein unsichtbarer Rahmen mit dem Facebook-Button. “Die Angreifer schieben dieses transparente Fenster über ein anklickbares Element“, erklärt der Informatiker Marcus Niemietz aus Bochum. “Das ist ein Spiel mit verschachtelten Design-Elementen.“ Dabei kommt die Programmiersprache Cascading Style Sheets (CSS) zum Einsatz. Fachleute nennen diese Attacke “Clickjacking“ - ein Kunstwort, das sich aus den Begriffe “click“ (klicken) und “Hijacking“ (Entführung) zusammensetzt. Wenn der “Gefällt mir“-Button von Facebook missbraucht wird, ist von “Likejacking“ die Rede.

Was dabei mit dem Rechner des Nutzers passiert, ist unterschiedlich. “Ein häufiges Szenario: “Der Angreifer verbreitet Links zu einer Website, die Schadcode enthält“, sagte Niemietz, der an der Ruhr-Universität Bochum den Masterstudiengang IT-Sicherheit/ Informationstechnik belegt. Wer die Website aufruft, könnte sich also einen Virus einfangen. Das scheint auch bei einem vermeintlichen Charlie-Sheen-Video der Fall zu sein. Zunächst öffnet sich eine Umfrage, die angeblich belegen soll, dass der Nutzer mindestens 16 Jahre alt ist. Wer weiterklickt, wird aufgefordert, Software zu installieren. Spätestens hier sollten bei Nutzern die Alarmglocken laut klingen.

Hinter anderen Clickjacking-Versuchen verstecken sich Apps, die den Zugriff auf das Facebook-Profil des Nutzers erbitten und somit Daten abgreifen können. Und die Sicherheitssoftware-Firma Sophos entdeckte hinter einem angeblichen Video den Link zu einem Anbieter, der mehrfach pro Woche eine SMS in Rechnung stellt. Schützen könne man sich beispielsweise mit der Erweiterung “No Script“ für den Firefox-Browser, bemerkte Sophos-Analyst Graham Cluley. Allerdings setzt sie auf breiter Front die Ausführung von Scripts aus, so dass manche Websites nicht so wie gewohnt funktionieren. Experten empfehlen sie daher nur erfahrenen Anwendern. Deshalb verlangte das Blog “ZDNet“, das Problem an der Wurzel zu lösen: Der “Gefällt mir“-Button müsse so verändert werden, dass er nur sichtbar ausgelöst werden könne, aber nie im Hintergrund. Dies wäre aber schwer umzusetzen, räumten die Technik-Journalisten ein. Ein einfachere Möglichkeit wäre, die Nutzer jeden “Gefällt mir“ explizit bestätigen zu lassen - was aber weniger Komfort bedeuten würde.

dpa

Auch interessant

Meistgelesene Artikel

Laptop-Kauf einfach gemacht: Alles was Sie wissen müssen
Wer sich ein neues Laptop zulegen will, hat die Qual der Wahl. Windows-Geräte gibt es schon zu relativ günstigen Preisen. Doch auch Apple hat nachgelegt und tritt wieder …
Laptop-Kauf einfach gemacht: Alles was Sie wissen müssen
iPhone 8: Verkaufsstart in München - Kunde mit überraschender Aussage
Ab heute ist das iPhone 8 in den Läden erhältlich, so auch in den Apple-Stores in München. Wir zeigen, wie der Verkaufsstart lief. 
iPhone 8: Verkaufsstart in München - Kunde mit überraschender Aussage
Bixby-Taste von Samsung Galaxy S8 und Note 8 deaktivierbar
Der digitale Smartphone-Assistent Bixby der neuen Galaxys öffnet sich standardmäßig nach kurzem Tastendruck. Dies ist manchen Nutzen ungewollt öfters passiert: mit dem …
Bixby-Taste von Samsung Galaxy S8 und Note 8 deaktivierbar
Drei Tipps für mehr Browser-Sicherheit
Updates einschalten, Passwörter nicht im Klartext speichern und gefährliche Inhalte blockieren. Schon mit wenigen Handgriffen und Mausklicks lässt sich der Browser …
Drei Tipps für mehr Browser-Sicherheit

Kommentare