-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

-Produktempfehlung: Kaspersky lab-

Für viel Aufsehen sorgen zur Zeit etliche Links zu angeblichen Sex-Videos einiger Prominenter. Die Links zu diesen Videos überschwemmen Beiträge, Seiten, Fotos etc. Quasi überall tauchen sie zur Zeit auf.

Wie genau diese Attacke vor geht haben wir versucht für euch nachzuvollziehen.

Wie funktioniert das?

Bereits in anderen Berichten haben wir euch Fakes gezeigt bei denen man sich entweder einen „Profil-Spion“ oder eine „Anwendung zum ändern der Facebook Farbe“ beschaffen können sollte.

Damit diese Fakes angeblich funktionieren, musste der Nutzer auf einer externen Website eine Folge von Tastenkombinationen drücken um zu bestätigen das er volljährig ist. Hat er das getan so wurde ohne sein Wissen ein sogenannter AccessToken generiert. Diese AccessToken sind wie Schlüssel zum Profil des Nutzers. Gelangt so ein Schlüssel in die falschen Hände so können einige Aktionen im Profil des Nutzers ferngesteuert werden.

Warum gibt es AccessToken und was können sie?

Eigentlich sind AccessToken dafür vorgesehen das Anwendungen auf Facebook im Namen des Nutzers Aktionen ausführen dürfen bzw. Informationen des Nutzers lesen können. In diesen Tokens sind die Berechtigungen verschlüsselt die ein Nutzer einer App gegeben hat.

Bei den ersten Varianten solcher Angriffe gab es noch das Problem das die Angreifer nur Tokens für Anwendungen abfangen konnten die der Nutzer auch akzeptiert hatte. (Hierfür wurde gerne Instagramm missbraucht). So wurden einige Nutzer natürlich misstrauisch und sind nicht auf diesen Trick reingefallen.

Nun haben aber findige Geister einen Weg gefunden eine Anwendung anzusprechen die jeder Facebook Nutzer fest in seinem Account eingebaut hat. Diese Anwendung läuft quasi grundsätzlich im Hintergrund und steuert die Berechtigungen für den Facebook Messenger. AccessToken für diesen Messenger haben alle Rechte und kein eingebautes „Verfallsdatum“ (wie es bei anderen Anwendungen der Fall ist). Somit sind sie ein gefundenes Fressen für Angreifer. Allerdings soll es möglich sein durch das ändern des Account-Passwortes dem gerade generiertem Token seine Rechte wieder zu nehmen.

Diese Sicherheitslücke ist laut aktuellen Berichten auch Facebook mittlerweile bekannt und es wird versucht diese zu schließen. Ein erster Schritt in diese Richtung ist das Facebook mittlerweile einige der ausgelösten Aktionen erkennen kann und dem betroffenen Nutzer relativ zeitnah unter die Arme greift. Der Spam wird von FB gelöscht und beim nächsten LogIn wird der Nutzer darüber informiert das er wohl irgendwo aufgefordert wurde eine Adresszeile zu kopieren und wieder einzufügen und damit Spam verursacht hat.

Wie sehen die Seiten mit solchen Attacken aus?

Generell kann so eine Seite jede beliebige Form haben. Zwei Beispiele sind ja in unseren oben verlinkten Berichten zu finden.
Für die aktuell kursierenden „Sex-Videos“ haben wir einmal ein paar Screenshots erstellt.

Erst gelangt man auf eine Seite wo einem ein Video Player angezeigt wird. Um den nutzen zu können soll der Nutzer einen Player seiner wahl downloaden und installieren. Hier versteckt sich nun bereits die erste Falle. Die heruntergeladene Datei enthält einen Trojaner den scheinbar momentan nur wenige Scanner erkennen. Welche das sind sagte uns zum Beispiel die Seite „Virus Total„.

  • TrendMicro-HouseCall: TROJ_GEN.F47V0221
  • ESET-NOD32: a variant of Win32/InstallCore.AZ
  • DrWeb: Trojan.Packed.2818
  • AntiVir: ADWARE/InstallCore.Gen
Was dieser Trojaner wiederum genau tut können wir mit unseren Mitteln nicht feststellen.
Sollte man nicht bereits durch diesen Download abgeschreckt sein (gerade junge Leute kennen diese Video Player Tricks aus zwielichtigen Videoportalen), klickt man oben rechts auf den Button „Werbung überspringen“.
Hier ist nun also die Seite mit dem angeblichen Video. Ein neuer Player lädt zum klicken ein.

Was man auf unserem Screenshot jetzt nicht sieht; rechts neben dem Player kann man, bei weit in die Breite gezogenem Browserfenster schon einen Teil des nächsten Schrittes erkennen.
Wird der Player angeklickt so schiebt sich von Rechts eine neue Seite ins Blickfeld. Hier soll jetzt durch drücken eines Buttons ein Code generiert werden.
Dieser taucht (wie auf der Seite auch nett erklärt wird) in einem neuen Fenster in der Adresszeile auf.

Klickt man nun im ursprünglichen Fenster auf  „Next“ schiebt sich die nächste Seite von Rechts ins Bild.
Hier wird man aufgefordert CNTRL+V bzw. STRG+V zu drücken. Tut man dies wird der vorher kopierte Code aus der Adresszeile in ein unscheinbares Formularfeld eingefügt und gesendet.

Hier ist die Misere dann komplett und die Falle schnappt zu. Unbemerkt vom Nutzer (dieser wartet jetzt, unterhalten von einem unendlich flimmernden Ladebalken auf den Start des Videos) kommentiert sein Facebook Account im Hintergrund derweil alles was er so auf der Startseite gerade so findet. Also Statusmeldungen von Freunden, Seiten, Gruppen, Bilder und Kommentare. Bei unserem Versuch hat der Testaccount ironischer weise den Spam Kommentar eines anderen Testaccount kommentiert und wir hatten gleich wieder neue Links zum ausprobieren.
Wir fragen uns immer wieder:
Wer nimmt diese Wege auf sich um ein angeblich skandalöses Video mit pornografischem Inhalt zu sehen?
Warum werden die Nutzer nicht früher misstrauisch?
Sollte doch noch jemand auf diesen Trick hereinfallen dann kann er möglichst schnell (damit kein anderer die Links klickt) in seinem Aktivitätenprotokoll die versehentlich abgegebenen Kommentare löschen.
https://www.facebook.com/me/allactivity 
Ebenfalls empfiehlt es sich sein Passwort zu ändern um dem AccessToken die Rechte zu entziehen.