IT-News World » Berichte » Klick-Betrüger nehmen Facebook ins Visier

Berichte

Klick-Betrüger nehmen Facebook ins Visier

Bewertung:

Facebook-Nutzer sollten sich vor Betrügern in Acht nehmen. (Bild: dpa)

am 08.03.2011 | Von Andrej Sokolow und Christof Kerkmann, dpa

Berlin (dpa) - Mit seinen rund 600 Millionen Nutzern wird Facebook zu einem lukrativen Ziel für Online-Kriminelle. Die aktuelle Masche: Links zu vermeintlichen Spaß- oder Schock-Videos. Wer klickt, verbreitet Spam und bringt seinen eigenen Rechner in Gefahr.

Es ist eine perfekte Falle: Auf Facebook kursieren immer mehr Links, die lustige oder spannende Videos versprechen. Reißerische Titel verführen zum Klicken: Die Köder sind etwa «erschreckende Bilder» über Moslems, die Verhaftung von Christina Aguilera, oder der Abtransport des vermeintlich gestorbenen Charlie Sheen. Wer nicht widerstehen kann, bekommt allerdings kein Filmchen zu sehen, sondern verbreitet Spam und verseucht mit Pech seinen eigenen Rechner mit Viren. Das Perfide: Die Hinweise auf die spektakulären Inhalte scheinen von einem Facebook-Bekannten zu kommen. Wieso sollte man also nicht reinschauen?

Klicken Nutzer auf das Video, lösen sie einen unsichtbaren «Gefällt mir»-Button von Facebook aus. Wenn sie in dem Online-Netzwerk eingeloggt sind, erscheint automatisch eine Meldung auf der Pinnwand aller Kontakte - der Nutzer wird zur «Spam-Schleuder», ohne es zu merken. Facebook hatte die Funktionalität des Knopfs mit dem erhobenen Daumen kürzlich erweitert. Ein Klick kommt dadurch deutlich prominenter zur Geltung - im Fall der Videos ist etwa ein Link inklusive Screenshot zu sehen. Optisch sind die manipulierten Verweise nicht zu erkennen.

Ausgangspunkt des Angriffs ist eine manipulierte Website. Surfer sehen dort das Startbild des vermeintlichen Videos. Was sie nicht bemerken: Darüber liegt ein unsichtbarer Rahmen mit dem Facebook-Button. «Die Angreifer schieben dieses transparente Fenster über ein anklickbares Element», erklärt der Informatiker Marcus Niemietz aus Bochum. «Das ist ein Spiel mit verschachtelten Design-Elementen.» Dabei kommt die Programmiersprache Cascading Style Sheets (CSS) zum Einsatz.

Fachleute nennen diese Attacke «Clickjacking» - ein Kunstwort, das sich aus den Begriffe «click» (klicken) und «Hijacking» (Entführung) zusammensetzt. Wenn der «Gefällt mir»-Button von Facebook missbraucht wird, ist von «Likejacking» die Rede.

Was dabei mit dem Rechner des Nutzers passiert, ist unterschiedlich. Ein häufiges Szenario: «Der Angreifer verbreitet Links zu einer Website, die Schadcode enthält», sagte Niemietz, der an der Ruhr-Universität Bochum den Masterstudiengang IT-Sicherheit/ Informationstechnik belegt. Wer die Website aufruft, könnte sich also einen Virus einfangen.

Das scheint auch bei einem vermeintlichen Charlie-Sheen-Video der Fall zu sein. Zunächst öffnet sich eine Umfrage, die angeblich belegen soll, dass der Nutzer mindestens 16 Jahre alt ist. Wer weiterklickt, wird aufgefordert, Software zu installieren. Spätestens hier sollten bei Nutzern die Alarmglocken laut klingen.

Hinter anderen Clickjacking-Versuchen verstecken sich Apps, die den Zugriff auf das Facebook-Profil des Nutzers erbitten und somit Daten abgreifen können. Und die Sicherheitssoftware-Firma Sophos entdeckte hinter einem angeblichen Video den Link zu einem Anbieter, der mehrfach pro Woche eine SMS in Rechnung stellt.

Schützen könne man sich beispielsweise mit der Erweiterung «No Script» für den Firefox-Browser, bemerkte Sophos-Analyst Graham Cluley. Allerdings setzt sie auf breiter Front die Ausführung von Scripts aus, so dass manche Websites nicht so wie gewohnt funktionieren. Experten empfehlen sie daher nur erfahrenen Anwendern.

Deshalb verlangte das Blog «ZDNet», das Problem an der Wurzel zu lösen: Der «Gefällt mir»-Button müsse so verändert werden, dass er nur sichtbar ausgelöst werden könne, aber nie im Hintergrund. Dies wäre aber schwer umzusetzen, räumten die Technik-Journalisten ein. Ein einfachere Möglichkeit wäre, die Nutzer jeden «Gefällt mir» explizit bestätigen zu lassen - was aber weniger Komfort bedeuten würde.

IT-News als RSS-Feed lesen

Weitere News aus Berichte

Das neue Radio - Was es bei DAB+ zu beachten gibt

24.05.2012 | Von Samuel Acker, dpa | Berlin/München (dpa/tmn) - DAB+ trägt es schon im Namen: Das neue digitale Radio soll ein Plus zum bisherigen Hörfunk bieten - in Form von Bildern, Nachrichten und Infos zu Musiktiteln oder Sendungen. Doch nicht jedes DAB-Radiogerät ist dafür gerüstet.    Weiter lesen ...

Kryptische Kürzel - Gerätebezeichnungen sorgen für Verwirrung

23.05.2012 | Von Tobias Hanraths, dpa | Starnberg/Berlin (dpa/tmn) - Wer ein technisches Gerät anschaffen möchte, verliert oft zuerst die Übersicht - und dann die Nerven. Denn viele Hersteller geben ihren Produkten ellenlange und unverständliche Bezeichnungen. So lassen sich die kryptischen Kürzel entziffern:    Weiter lesen ...

Apps und Tools für USB-Sticks: Der Mini-PC in der Hosentasche

22.05.2012 | Von Thomas Joos, dpa | Korschenbroich (dpa/tmn) - USB-Sticks sind Alltag. Doch die kleinen Wegbegleiter können nicht nur Fotos, Dokumente und Videos speichern. Wer transportable Programme, sogenannte Portable Apps auf ihnen ablegt, hat seinen Mini-PC immer dabei.    Weiter lesen ...

Befehle vom Telefon: Fernsteuerungs-Apps für TV & Co.

18.05.2012 | Von Tobias Hanraths, dpa | Stuttgart (dpa/tmn) - Unterwegs den Router anschalten, aus der Ferne auf die Musiksammlung zugreifen und den Fernseher vom Nebenraum aus steuern: Remote-Apps machen es möglich. Allerdings kochen viele Hersteller ihr eigenes Süppchen, Universallösungen gibt es kaum.    Weiter lesen ...

Sprachen pauken für den Urlaub - Neue Apps und Lernprogramme

16.05.2012 | Von Cordula Dernbach, dpa | Berlin (dpa/tmn) - «Hallo», «Tschüss», «Bitte» und «Danke»: Wer im Urlaub mehr als nur diese Sprachfetzen beherrschen will, kann fremde Begriffe und Vokabeln mit elektronischen Helfern lernen. Unter den neuen Programmen gibt es auch Angebote für Kinder.    Weiter lesen ...

Weitere News aus dem Bereich Berichte »