Klick-Betrüger nehmen Facebook ins Visier

Berlin (dpa) - Es ist eine perfekte Falle: Auf Facebook kursieren immer mehr Links, die lustige oder spannende Videos versprechen.

Reißerische Titel verführen zum Klicken: Die Köder sind etwa „erschreckende Bilder“ über Moslems, die Verhaftung von Christina Aguilera, oder der Abtransport des vermeintlich gestorbenen Charlie Sheen. Wer nicht widerstehen kann, bekommt allerdings kein Filmchen zu sehen, sondern verbreitet Spam und verseucht mit Pech seinen eigenen Rechner mit Viren. Das Perfide: Die Hinweise auf die spektakulären Inhalte scheinen von einem Facebook-Bekannten zu kommen. Wieso sollte man also nicht reinschauen?

Klicken Nutzer auf das Video, lösen sie einen unsichtbaren „Gefällt mir“-Button von Facebook aus. Wenn sie in dem Online-Netzwerk eingeloggt sind, erscheint automatisch eine Meldung auf der Pinnwand aller Kontakte - der Nutzer wird zur „Spam-Schleuder“, ohne es zu merken. Facebook hatte die Funktionalität des Knopfs mit dem erhobenen Daumen kürzlich erweitert. Ein Klick kommt dadurch deutlich prominenter zur Geltung - im Fall der Videos ist etwa ein Link inklusive Screenshot zu sehen. Optisch sind die manipulierten Verweise nicht zu erkennen.

Ausgangspunkt des Angriffs ist eine manipulierte Website. Surfer sehen dort das Startbild des vermeintlichen Videos. Was sie nicht bemerken: Darüber liegt ein unsichtbarer Rahmen mit dem Facebook-Button. „Die Angreifer schieben dieses transparente Fenster über ein anklickbares Element“, erklärt der Informatiker Marcus Niemietz aus Bochum. „Das ist ein Spiel mit verschachtelten Design-Elementen.“ Dabei kommt die Programmiersprache Cascading Style Sheets (CSS) zum Einsatz.

Fachleute nennen diese Attacke „Clickjacking“ - ein Kunstwort, das sich aus den Begriffe „click“ (klicken) und „Hijacking“ (Entführung) zusammensetzt. Wenn der „Gefällt mir“-Button von Facebook missbraucht wird, ist von „Likejacking“ die Rede.

Was dabei mit dem Rechner des Nutzers passiert, ist unterschiedlich. „Ein häufiges Szenario: „Der Angreifer verbreitet Links zu einer Website, die Schadcode enthält“, sagte Niemietz, der an der Ruhr-Universität Bochum den Masterstudiengang IT-Sicherheit/ Informationstechnik belegt. Wer die Website aufruft, könnte sich also einen Virus einfangen.

Das scheint auch bei einem vermeintlichen Charlie-Sheen-Video der Fall zu sein. Zunächst öffnet sich eine Umfrage, die angeblich belegen soll, dass der Nutzer mindestens 16 Jahre alt ist. Wer weiterklickt, wird aufgefordert, Software zu installieren. Spätestens hier sollten bei Nutzern die Alarmglocken laut klingen.

Hinter anderen Clickjacking-Versuchen verstecken sich Apps, die den Zugriff auf das Facebook-Profil des Nutzers erbitten und somit Daten abgreifen können. Und die Sicherheitssoftware-Firma Sophos entdeckte hinter einem angeblichen Video den Link zu einem Anbieter, der mehrfach pro Woche eine SMS in Rechnung stellt.

Schützen könne man sich beispielsweise mit der Erweiterung „No Script“ für den Firefox-Browser, bemerkte Sophos-Analyst Graham Cluley. Allerdings setzt sie auf breiter Front die Ausführung von Scripts aus, so dass manche Websites nicht so wie gewohnt funktionieren. Experten empfehlen sie daher nur erfahrenen Anwendern.

Deshalb verlangte das Blog „ZDNet“, das Problem an der Wurzel zu lösen: Der „Gefällt mir“-Button müsse so verändert werden, dass er nur sichtbar ausgelöst werden könne, aber nie im Hintergrund. Dies wäre aber schwer umzusetzen, räumten die Technik-Journalisten ein. Ein einfachere Möglichkeit wäre, die Nutzer jeden „Gefällt mir“ explizit bestätigen zu lassen - was aber weniger Komfort bedeuten würde.