-Produktempfehlung: Kaspersky lab-

Uns wurde vor kurzem von einem Kommentar berichtet der unter verschiedensten Statusbeiträgen von Seiten und Personen auftaucht. In diesem Kommentar wird ein “SAMSUNG GALAXY S4 GIVEAWAY” angepriesen. Einen der üblichen Fakes erwartend haben wir einen solchen Kommentar ausprobiert und damit eine ganze Welle von Aktionen ausgelöst wie es scheint. Dieser Fake zieht alle Register und nutzt eine Art der Verbreitung die wir bis heute auch noch nicht kannten. So wie es scheint sind hier einige Techniken kombiniert die sonst immer nur einzeln genutzt wurden.

So sieht der Statusbeitrag aus:

1

Diesen Kommentar nehmen wir erst mal als unseren Ausgangspunkt.

Was passiert hier?

Klickt ein Nutzer auf diesen Kommentar so kommt er zu einer Website auf der es wie angepriesen das Galaxy S4 zu gewinnen geben soll. Alles was der Nutzer hier tun soll ist eine Verbindung mit Facebook herstellen. Dies geschieht über einen großen Button “Log In with Facebook”. Dieser startet eine Berechtigungsabfrage für die Facebook Anwendung des Dienstes “digg”. digg (https://digg.com/about) ist eine Plattform über die man Inhalte im Web mit seinen Freunden teilen kann und basierend auf den Reaktionen der Nutzer die “TopStories” im Netz findet. Betrüger nutzen nun im Rahmen dieses Fakes die Möglichkeiten der digg Anwendung um ihre Links zu verbreiten. Das digg selbst davon weis bezweifeln wir.

Die Seite mit dem Fake:

2

Genehmigungsabfragen für die digg-Anwendung auf Facebook:

3

Hat der Nutzer diese Schritte erledigt gelangt er zurück auf die ursprüngliche Seite. Hier hat sich lediglich der Button verändert und führt uns weiter zu einem anderen Gewinnspiel. Welches Gewinnspiel genau scheint davon abzuhängen in welchem Land der Nutzer sich aktuell befindet. Unser Tester jedenfalls bekam die Mitteilung das das aktuelle Angebot für Deutschland nicht verfügbar ist und bekommt stattdessen die Chance auf ein iPhone 5. Dieses angebliche iPhone 5 Gewinnspiel ist aber lediglich ein Handyabo und verlangt 4,99 € pro Woche wenn man seine Mobilfunknummer einträgt.

4

 

5

Was ist daran neu?

Genau zu diesem Punkt kommen wir jetzt.

Normalerweise würde so ein Fake hier bereits enden und wir Tipps geben wie man die vom Fake ausgelösten Aktionen rückgängig macht.

Doch diese Variante beschränkt sich nicht darauf ein Bild, Kommentar oder Statusbeitrag mit dem Köder-Link zu posten.
Diese Variante erstellt zusätzlich im Profil des Nutzers eine Notiz. An sich auch erst mal bis auf den Umstand das wir das vorher bei keinem Fake beobachtet haben auch nichts außergewöhnliches und eben nur eine neu Form der Verbreitung.
Als wir allerdings feststellten das unser zweites Testprofil das mit dem Ersten befreundet ist, in einem Kommentar unter der Notiz markiert wurde haben wir diese einmal mit dem zweiten Profil geöffnet.

Völlig unvorbereitet und ohne einen erkennbaren Auslöser fing plötzlich das zweite Profil an irgendwelche Listen zu abonnieren und Fotos sowie Statusbeiträger mit einem “Gefällt mir” zu versehen.

Erst konnten wir uns darauf keinen Reim machen. Mittlerweile vermuten wir allerdings das es in der Notiz-Funktion möglich ist auch Code zu verstecken. Dies stellten wir fest als uns auffiel das das Bild in dieser Notiz ein klickbarer Link ist.

Wie genau dieser Code in der Notiz aussieht und wie genau er arbeitet konnten wir bisher noch nicht herausfinden. Wir bleiben aber natürlich am Ball und versuchen das Rätsel zu knacken.

Die Notiz die wahrscheinlich versteckten Code enthält:

6

Die Notiz als Statusbeitrag auf der Startseite:

7

Aktivitäten im Profil des ersten Testaccounts:

8

Aktivitäten im zweiten Testaccount nachdem dieser lediglich die Notiz geöffnet hatte:

9

Während wir noch diesen Artikel schreiben scheint Facebook die ungewöhnlichen Aktivitäten auf unserem zweiten Account bemerkt zu haben und sperrt erst mal diesen Account. Erst nach ein paar Sicherheitsmaßnahmen haben wir wieder zugriff auf dieses Profil.

image

-Mimikama unterstützen-