Hallo, ihr Facebook-Menschen bitte aufwachen! Tag für Tag sehe ich in meiner Facebook-Timeline dass irgendwelche Leute auf immer den gleichen Trick reinfallen, weil sie sich lustige Videos anschauen wollen: Clickjacking. Wer nicht widerstehen kann, bekommt aber gar kein Filmchen zu sehen, sondern verbreitet Spam und verseucht mit Pech seinen eigenen Compi mit bösen Viren. Tag für Tag werden vermeindliche Videos angeklickt, welche dann die folgenden Pinwand-Einträge erzeugen:
Seit einigen Wochen läuft diese Welle endloser „Gefällt mir“-Updates bereits, sie beziehen sich immer auf irgendwelche, angeblich lustige Videoclips. Die Köder sind "erschreckende Bilder" über Moslems, die Verhaftung von Christina Aguilera oder der Abtransport des vermeintlich verstorbenen Charlie Sheen. Genau so beliebt das Video, dass wir alle bei DSDS oder im Dschungelcamp nur verarscht würden.. gut, dass ist wohl eine Tatsache, gehört aber nicht hier hin. Jetzt reichts! Darum möchte ich an dieser Stelle kurz aufklären, was ihr mit euren unüberlegten "Gefällt mir"-Klicks verursacht.
Ein erstes Merkmal dass mit dem Video etwas nicht stimmt ist zum Beispiel die Adresse des Links. Mal ehrlich, die meisten Videos im Internet findet man in der Regel eh bei YouTube, Vimeo oder Dailymotion. So ganz unter uns: Warum sollte also ein aktuelles Video zur Atomkatastrophe in Japan ausgerechnet auf einer Website sein, deren Domain zum Beispiel "prosixpack.de" oder so ähnlich heisst? Analog verhält es sich mit Domainnamen wie "thenextbigx.com" oder "funx.likeit.biz" - für alle gilt: NICHT drücken! Tipp Nummer eins: Bei Facebook sieht man die Adresse des vermeintlichen Video-Links meist unter dem Screenshot. Das ist der kleine blaue Text. Siehe Screenshot oben.
Falls die Neugier halt doch mal wieder grösser war als der Verstand, Tipp Nummer 2. Wenn das vermeintlich lustige Video eine neue Webseite öffnet, sollte man allerspätestens misstrauisch werden. Denn wer dann auf dieser neuen Seite noch auf den grossen Play-Button in der Mitte klickt, um sich das sensationelle Video anzusehen, sitzt man in der Falle. Denn nun wird ein verstecktes "Gefällt-mir"-Plugin ausgelöst, der SPAM landet auf der eigenen Pinnwand und produziert massig doofe Links auf der Timeline der anderen User. Da gibts sicher Unwissende, die dann auch wieder drauf drücken und so weiter und so weiter. Übrigens, wer sich bei Facebook ausloggt um das doofe Video zu schauen, der wird dann lustigerweise beim Drücken auf den Play-Knopf aufgefordert, sich wieder bei FB einzuloggen. Was dann wohl der letzte Hinweis ist, dass an der Geschichte etwas faul ist.
Ausgangspunkt für diese Angriffe sind die oben erwähnten, manipulierten Websiten. Surfer sehen dort das Startbild des vermeintlichen Videos. Was sie nicht bemerken: Darüber liegt ein unsichtbarer Rahmen, der es auf die User-Daten abgesehen hat. Wer die Website aufruft, fängt sich so locker einen fiesen Virus ein. Genau das scheint auch beim (sehr aktuellen) vermeintlichen Charlie-Sheen-Video der Fall zu sein. Zunächst öffnet sich eine Sicherheitsfrage, die angeblich aufzeigen soll, dass der Nutzer 16 Jahre alt ist. Wer weiterklickt, wird dann aufgefordert, eine kleine Software zu installieren und spätestens hier sollten bei schlauen Nutzern die Alarmglocken laut klingen.
Wer sich nun noch fragt, was das Ganze soll. Bitte sehr, hier die Lösung. Natürlich geht es auch bei diesem Beschiss um Geld: Hinter zahlreichen Clickjacking-Versuchen verstecken sich Apps, die den Zugriff auf euer Facebook-Profil erbitten und somit auf Daten zufgreifen können. Und so kann es durchaus passieren, dass man dem Link zu einem Video folgt, dann aber bei einem Anbieter landet, der erst die Facebook-Daten klaut und dann mehrfach pro Woche eine teure SMS in Rechnung stellt. Einen sicheren Schutz gegen diese Clickjacking oder auch Likejacking-Angriffe gibt es derzeit nicht. Oder doch: Hirn einschalten und nicht immer gleich auf "Gefällt mir" drücken, auch wenn der Link von einem vermeindlichen Freund stammt. Dieser weiss nämlich oft gar nicht, dass er auf einen fiesen SPAM-Trick reingefallen ist.
Keine Kommentare:
Kommentar veröffentlichen