image Wie immer verschwenden die Cyber-Kriminellen keine Zeit und machen sich so auch den Tod von Osama bin Laden und dessen weltweite Wirkung zunutze, um ihre üblichen Fallen auf Facebook auszulegen. Gerade habe ich einen Anruf von einem „besorgten Familienmitglied“ erhalten, der einem Virus im Facebook-Chat zum Opfer gefallen ist. Die Infektionskette begann mit einer Chat-Nachricht von einem Freund, die folgendermaßen lautete: watch the video of them killing osama bin laden live! (Schau mal, hier siehst du, wie Osama bin Laden getötet wird!)“ und einen Link zum entsprechenden Video enthielt. In der Nachricht wurde das Opfer mit seinem Namen angesprochen, was das Ganze noch glaubwürdiger machte.

- Sponsorenliebe | Werbung -

watch the video of them killing osama bin laden live

Der Link führt zu einer Seite, die den Facebook-Benutzern, die solche Nachrichten häufiger erhalten, vertraut vorkommt. Aber wie mein „besorgtes Familienmitglied“ bestätigen kann, legt sie arglose Benutzer herein.

Bild vergrößern

In den Anweisungen auf der Seite wird das Opfer aufgefordert, den „Video-Code“ in die Adressleiste des Browsers zu kopieren, um das Video zur Hinrichtung des Terrorfürsten anzuzeigen. In einem Blog mag diese Aufforderung ungewöhnlich sein, im Live-Chat mit einem vertrauenswürdigen Freund aber kommt Ihnen eine solche Nachricht wahrscheinlich völlig harmlos vor.

Dieser Code, den Sie in die Adressleiste des Browsers kopieren, ist ein JavaScript, das einfach eine weitere JavaScript-Datei aufruft, die auf einer infizierten, ansonsten aber völlig harmlosen Website gehostet wird. Diese zweite Datei listet alle Ihre Facebook-Freunde auf, sendet ihnen Chat-Nachrichten, lädt sie zu einer Veranstaltung ein und aktualisiert Ihren Facebook-Status permanent. Der Video-Link wird umgehend auf Ihrer Facebook-Seite veröffentlicht, um andere unbedarfte Facebook-Benutzer anzulocken. Außerdem wird er massenhaft in personalisierten Chat-Nachrichten und Veranstaltungseinladungen an Ihre Liebsten (also Ihre Facebook-Freunde) versendet.

Die eingesetzte Methode entspricht exakt derjenigen, die bei den häufig zu findenden Scams zu Tools für die Ermittlung von Profilbesuchern verwendet wird. Die hier beschriebene bösartige JavaScript-Datei enthält sogar die Zeile„var eventdesc = ‘Hey everyone, \n\ fb now lets you see who viewed your profile! to enable this feature, go here!“, aus der sich schließen lässt, dass es sich hier schlicht um eine leicht abgewandelte Falle handelt.

Was lernen wir also daraus? Das Erste und Einfachste ist wohl: Wenn Sie einen unerwünschten Link von jemandem erhalten – und sei es ein Freund – fragen Sie nach, ehe Sie auf den Link klicken. Man kann ja nie wissen – vielleicht tun Sie Ihren Freunden sogar einen Gefallen und machen sie darauf aufmerksam, dass sie hereingelegt wurden. Und noch wichtiger: Kopieren Sie NIEMALS irgendetwas anderes als einen LINK in die Adressleiste Ihres Browsers!

Übrigens handelt es sich bei dem beschriebenen Angriff nicht um den einzigen Osama-Betrug, der zurzeit auf Facebook kursiert. Ich habe viele Versionen eines weiteren Angriffs entdeckt, der das so genannte Clickjacking mit einem falschen CAPTCHA verwendet, um Benutzer dazu zu bringen, den bösartigen Code auf ihrer Facebook-Seite zu veröffentlichen.

Bild vergrößern

Originalartikel von Rik Ferguson (Director of Security Research & Communication, Trend Micro)

-Mimikama unterstützen-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal,via Steady