Wie immer verschwenden die Cyber-Kriminellen keine Zeit und machen sich so auch den Tod von Osama bin Laden und dessen weltweite Wirkung zunutze, um ihre üblichen Fallen auf Facebook auszulegen. Gerade habe ich einen Anruf von einem “besorgten Familienmitglied” erhalten, der einem Virus im Facebook-Chat zum Opfer gefallen ist. Die Infektionskette begann mit einer Chat-Nachricht von einem Freund, die folgendermaßen lautete: “watch the video of them killing osama bin laden live! (Schau mal, hier siehst du, wie Osama bin Laden getötet wird!)” und einen Link zum entsprechenden Video enthielt. In der Nachricht wurde das Opfer mit seinem Namen angesprochen, was das Ganze noch glaubwürdiger machte.

watch the video of them killing osama bin laden live

Der Link führt zu einer Seite, die den Facebook-Benutzern, die solche Nachrichten häufiger erhalten, vertraut vorkommt. Aber wie mein “besorgtes Familienmitglied” bestätigen kann, legt sie arglose Benutzer herein.

In den Anweisungen auf der Seite wird das Opfer aufgefordert, den “Video-Code” in die Adressleiste des Browsers zu kopieren, um das Video zur Hinrichtung des Terrorfürsten anzuzeigen. In einem Blog mag diese Aufforderung ungewöhnlich sein, im Live-Chat mit einem vertrauenswürdigen Freund aber kommt Ihnen eine solche Nachricht wahrscheinlich völlig harmlos vor.

Dieser Code, den Sie in die Adressleiste des Browsers kopieren, ist ein JavaScript, das einfach eine weitere JavaScript-Datei aufruft, die auf einer infizierten, ansonsten aber völlig harmlosen Website gehostet wird. Diese zweite Datei listet alle Ihre Facebook-Freunde auf, sendet ihnen Chat-Nachrichten, lädt sie zu einer Veranstaltung ein und aktualisiert Ihren Facebook-Status permanent. Der Video-Link wird umgehend auf Ihrer Facebook-Seite veröffentlicht, um andere unbedarfte Facebook-Benutzer anzulocken. Außerdem wird er massenhaft in personalisierten Chat-Nachrichten und Veranstaltungseinladungen an Ihre Liebsten (also Ihre Facebook-Freunde) versendet.

Die eingesetzte Methode entspricht exakt derjenigen, die bei den häufig zu findenden Scams zu Tools für die Ermittlung von Profilbesuchern verwendet wird. Die hier beschriebene bösartige JavaScript-Datei enthält sogar die Zeile“var eventdesc = ‘Hey everyone, \n\ fb now lets you see who viewed your profile! to enable this feature, go here!”, aus der sich schließen lässt, dass es sich hier schlicht um eine leicht abgewandelte Falle handelt.

Was lernen wir also daraus? Das Erste und Einfachste ist wohl: Wenn Sie einen unerwünschten Link von jemandem erhalten – und sei es ein Freund – fragen Sie nach, ehe Sie auf den Link klicken. Man kann ja nie wissen – vielleicht tun Sie Ihren Freunden sogar einen Gefallen und machen sie darauf aufmerksam, dass sie hereingelegt wurden. Und noch wichtiger: Kopieren Sie NIEMALS irgendetwas anderes als einen LINK in die Adressleiste Ihres Browsers!

Übrigens handelt es sich bei dem beschriebenen Angriff nicht um den einzigen Osama-Betrug, der zurzeit auf Facebook kursiert. Ich habe viele Versionen eines weiteren Angriffs entdeckt, der das so genannte Clickjacking mit einem falschen CAPTCHA verwendet, um Benutzer dazu zu bringen, den bösartigen Code auf ihrer Facebook-Seite zu veröffentlichen.

Originalartikel von Rik Ferguson (Director of Security Research & Communication, Trend Micro)