-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

-Produktempfehlung: Kaspersky lab-

In der letzten Zeit kam es immer häufiger zu einer bestimmten Art von Attacken, bei dem der Nutzer aufgefordert wurde, Quellcode von einer bestimmten Seite zu kopieren und entweder in der Browserzeile einzufügen oder die sogenannte „Entwickler-Konsole“ aufzurufen und dort auszuführen.

image

Im Moment geht es um diese Seite. Mehr dazu etwas weiter unten im Bericht:

image

Angeblich soll der Nutzer davon gewisse Vorteile haben: Entweder wird als Vorwand für diese Aktion genommen, dass damit eine „Sicherheitsüberprüfung“ durchgeführt würde, oder – wie im extremsten Fall – dass man damit das Facebook-Konto eines Freundes hacken kann.

Die Urheber dieser Attacken, die diesen Code dann bereitstellen, sind aber immer die einzigen, die davon profitieren.

Was genau alles passieren kann, möchten wir in diesem Artikel näher beschreiben. Von lustigen Effekten, die im Grunde harmlos sind, bis hin zu dem Resultat, dass man damit z.B. seinen Facebook-Account mit komplettem Zugriff den Angreifern in die Hände spielt, ist nämlich alles möglich!

JavaScript ist ein mächtiges Werkzeug, das auch zu schädlichen Zwecken missbraucht werden kann!

Webseiten wie Facebook würden nicht funktionieren, wenn nicht per JavaScript dafür gesorgt würde, dass im Hintergrund der Newsfeed aktualisiert würde, Anstupser verteilt oder der Chat zum Leben erweckt würde. JavaScript ist eine sogenannte „client- oder browserseitige Scriptsprache“, das heisst, dass sie im Browser, also direkt vor der Nase des Nutzers ausgeführt wird, im Gegensatz zu anderen Scriptsprachen, die z.B. auf den Webservern von Facebook laufen (wie z.B. PHP).

Dass JavaScript direkt im Browser läuft, heißt auch, dass der Nutzer theoretisch daran herumpfuschen kann. Und genau dort setzen diese Hacks an.

Das Fachwort für Attacken, die einer laufenden Webseite schädliches JavaScript unterjubeln wollen, heißt „XSS“ (Cross-Site-Scripting), was einfach ausgedrückt nichts anderes bedeutet, als dass von einer anderen Webseite schädlicher Code in die Seite eingefügt wird, auf der man sich momentan befindet. Diese Form der Attacken ist schon etwas älter, und mittlerweile haben sowohl die Browserhersteller als auch die Webseitenentwickler eine ganze Reihe von Maßnahmen ergriffen, um solche automatischen Attacken zu unterbinden.

Es gibt jedoch einen ganz entscheidenden Faktor, den kein Browserhersteller oder Entwickler der Welt beeinflussen kann: Den Nutzer selbst!

Was Angreifer nicht mehr automatisch erreichen können, versuchen sie daher manuell. Dazu muss der Nutzer natürlich einen guten Grund haben, die erforderlichen Schritte (Klicken eines Links, Kopieren von Quellcode, Einfügen in die Entwicklerkonsole und anschließendes Ausführen) durchzuführen.

Ein solcher Grund ist aber leider schnell konstruiert

· Ein Video wird erst dann abgespielt, wenn man eine angebliche „Sicherheitsüberprüfung“ durchführt

· In Zusammenhang mit einem Gewinnspiel wird das Ausführen des Codes als Legitimationsprüfung zur Teilnahmebedingung gemacht

· Oder ganz dreist: Es wird versprochen, dass man durch die Aktion das Facebook-Konto eines Freundes hacken kann!

Da der Nutzer den Hack selbst ausführt, spricht man daher bei dieser Methode auch von „Self-XSS“. Man schießt sich quasi selbst in den Fuß. Aber so richtig!

Das Facebook-Konto eines Freundes hacken? Das einzige Konto, was danach gehackt ist, ist das eigene!

Diese Version einer „Self-XSS“ Attacke hat uns hier bei ZDDK zunächst alle schockiert, weil sie als Ergebnis hat, dass wenn für die Angreifer alles glatt läuft, man seinen Facebook-Account innerhalb von ca. einer Stunde los ist. Das Profil ist von den Angreifern übernommen, das Passwort geändert, und die Angreifer haben mit der Freundesliste des Nutzers eine riesige Zahl von potenziellen nächsten Opfern.

Für die technisch interessierten:

Das fragliche Script liest über das „Graph API“ (Programmierschnittstelle für Facebook-Apps) unter Anderem das sogenannte „access_token“ des Profils aus. Dieses kann – einfach gesagt – zusammen mit weiteren Daten sozusagen eine Art Generalschlüssel für Aktivitäten auf dem Account sein, der besagt, dass man angemeldet ist. Wird dieses Token gestohlen und an die Angreifer gesendet, sowie noch eine Reihe von weiteren Aktionen durchgeführt, dann haben diese alle Mittel in der Hand um Facebook vorzugaukeln, sie wären das momentan angemeldete Opfer und können quasi alle Aktionen durchführen, die man auch als angemeldeter Nutzer tun kann.

Facebook versucht durch geeignete Maßnahmen natürlich, solche Aktionen zu erkennen und zu blockieren, aber jede so geschlossene Sicherheitslücke führt bei kriminellen Angreifern zu mehr Kreativität, wenn es darum geht, neue Lücken, sogenannte Exploits, zu finden.

Was kann ein solcher kopierter Code eigentlich machen?

Grob gesagt: Fast alles!

Hier einmal ein wirklich harmloses Beispiel, was garantiert keinen Schaden verursacht:

Und dies ist absolut das einzige Mal, wo es garantiert unbedenklich ist, JavaScript-Code manuell auszuführen!

Gibt man in der Adresszeile des Browsers (aktuell nur Safari und Chrome) zum Beispiel

javascript:alert(document.getElementsByClassName(„headerTinymanName“)[0].innerHTML);

ein, liest der Befehl euren Namen neben dem kleinen Profilbild in der Facebook-Menüzeile aus und zeigt ihn in einem Hinweisfenster an. Dies funktioniert zurzeit aber nur noch in Safari und Chrome. Firefox und der Internet Explorer haben diesen Weg bereits blockiert. Das ist auch der Grund, warum in den aktuellen Versionen dieser Masche auf die sogenannte „Entwickler-Konsole“ (aufrufbar mit F12) zurückgegriffen wird.

Hier reicht dann der Befehl:

alert(document.getElementsByClassName(„headerTinymanName“)[0].innerHTML);

Dieses Tool, das wie der Name schon sagt, für Web-Entwickler gedacht ist, beinhaltet eine Reihe von nützlichen Werkzeugen, um einer Webseite „unter die Haube“ zu schauen und zum Beispiel nach Fehlern in der Programmierung zu suchen. Unter anderem eben auch eine Konsole, aus der man JavaScript Code ausführen kann.

Mit dem entsprechenden JavaScript-Code hat man also eine Art unsichtbare Fernsteuerung für den eigenen Account, die man den Angreifen quasi in die Hand gibt. Bisher werden durch diese Masche hauptsächlich Seiten geliked und der Köder durch Posts an der eigenen Chronik sowie durch markieren von allen Freunden in den Posts weiter verbreitet. Was sonst noch alles möglich wäre, ist schwer zu sagen. Leider wird man auf Sicherheitslücken oft erst dann aufmerksam, wenn sie von Angreifern ausgenutzt werden, genau wie neue Viren sich erst verbreiten müssen, bevor sie von Antivirusprogrammen erkannt und beseitigt werden können.

Facebook ist diese Masche natürlich bereits bekannt, und es wird an Maßnahmen gearbeitet, die Nutzer zu warnen, bevor sie mit der Konsole potenziellen Unfug anstellen. Unterbinden kann man die Funktionalität leider nicht, aber eine Warnung im folgenden Stil wäre schon mal ein sinnvoller Schritt.

image

Sinngemäße Zusammenfassung des Inhalts:

Es wird vor dem sich momentan verbreiteten Scam gewarnt, der Nutzer dazu verleitet, JavaScript Code in die Konsole einzugeben. Normalerweise würde diese Masche dazu genutzt, Seiten zu liken, im Namen des Nutzers zu posten, Inhalte zu abonnieren und Freunde zu markieren. Es wären aber noch viel schlimmere Sachen damit möglich, darauf wird ausdrücklich hingewiesen.

Um dies zu vermeiden, so Facebook weiter, wäre diese Konsole in manchen Browsern „gently disabled“ („teilweise außer Funktion gesetzt“). Wenn man sie benutzen möchte, muss man bestätigen: „Allow my account to be hijacked if I paste malicious JavaScript“ – „Zulassen, dass mein Account gekapert wird, wenn ich JavaScript-Schadcode einfüge”

Wo und wann genau diese Meldung dann auftauchen wird, ist uns noch nicht bekannt. Bei unseren Tests konnten wir in allen gängigen Browsern die Konsole aufrufen ohne dass wir diese zu Gesicht bekamen.

Hier ist ein Video aus dem Jahr 2011, wo die Funktionsweise einer kombinierten Attacke aus sogenanntem „share-baiting“ (Teil-Ködern: Nutzer werden dazu verleitet, schädliche Posts zu teilen) und dem besagten „Self-XSS“ an einem Beispiel gezeigt wird: https://www.facebook.com/photo.php?v=956977232793

Laut einem Bericht von Symantec (http://www.symantec.com/connect/blogs/hacking-facebook-scammers-trick-users-gain-likes-and-followers) fielen der ersten Masche zwischen 50.000 und 100.000 Nutzer zum Opfer.

Ein aktueller Post, der mit Self-XSS versucht, die Nutzer aufs Kreuz zu legen

Folgende Community-Seite hat zum Beispiel durch diesen Trick mittlerweile 4733 Fans (als wir anfingen, diesen Artikel zu schreiben, waren es nur knapp 2500…).

Dazu muss man bedenken, dass Fans von Facebook-Seiten quasi bares Geld sind. Es werden (verbotener Weise) auf eBay Seiten mit einer gewissen Anzahl von Fans versteigert. Dabei gehen beträchtliche Summen über den Tisch. Der Ablauf ist folgender: Es werden mit einer solchen Masche Fans generiert, bis die Seite genügend wert ist. Dann wird die Seite verkauft, der Käufer bekommt einen Admin-Zugang, und kann daraufhin sein eigenes Produkt dort platzieren – die Seite wird also komplett „renoviert“.

Alle Posts und Fotos werden gelöscht und man startet dann ganz normal mit der Vermarktung eines Produkts; lediglich mit dem Unterschied, dass man von Anfang an ein paar tausend oder so gar zigtausend Fans hat.

image

Hier wird mit der Angst der Nutzer gespielt, dass sie von Facebook ausgeschlossen werden, wenn sie nicht den Anweisungen folgen, die in einem Post auf der Seite beschrieben werden.

Interessanterweise hat der Seitenbetreiber mittlerweile die Möglichkeit, dass Nutzer etwas an seine Pinnwand schreiben, deaktiviert. Das mag vielleicht auch daran liegen, dass wir unter jeden Post einen Hinweis mit einer entsprechenden Warnung in den Kommentaren hinterlassen hatten… 😉

Wir haben uns die Mühe gemacht, einmal hinter die Kulissen zu schauen

Der Quellcode, den man dort serviert bekommt, ist – wie fast immer – verschlüsselt, d.h. er ist nicht direkt lesbar, und auch für geübte Programmierer ist nicht auf den ersten Blick erkennbar, was eigentlich passiert:

image

Diese Funktion in dem Script heißt „arkadaslari_al“. „Arkadaşlar“ ist das türkische Wort für „Bekanntschaft“. Man kann also schon ansatzweise vermuten, was die Funktion macht, und auch eventuelle Rückschlüsse auf den Autor ziehen.

Nun gut, aber was macht dieses Script?

Auch nach dem Entschlüsseln (der Abschnitt in dem Bild ist bereits weitgehend entschlüsselt), können wir teilweise nur raten, was genau passiert. Also haben wir das einfach mal ausprobiert. (Wir haben für solche Fälle einen Dummy-Account, der bei solch gefährlichen Aktionen herhalten muss.)

image

Kopiert man den Code, so wie angegeben in die Konsole und drückt auf ENTER, dann werden in diesem Beitrag ALLE FREUNDE MARKIERT!

image

Sieht man sich das Aktivitätenprotokoll an, dann kann man neben den Markierungen auch noch erkennen, dass man diverse SEITEN, GRUPPEN und andere NUTZER “abonniert” hat!

image40

Fazit:

Alle Aufforderungen, irgendwelchen Code manuell irgendwo einzugeben und auszuführen sind AUSNAHMSLOS Versuche, Schindluder mit Eurem Account zu betreiben. (Bis auf unser kleines Beispiel in diesem Artikel natürlich…)

Folgt NIEMALS diesen Anweisungen! Im Extremfall könnten unter bestimmten Umständen die Angreifer sogar Euern Account komplett übernehmen und Euch quasi aussperren. Außerdem gebt ihr, wenn ihr solchen Code ausführt, immer eure KOMPLETTE FREUNDESLISTE preis und liefert diese quasi ans Messer!

Alle Argumente, die euch überzeugen sollen, dies doch zu tun, sind KOMPLETT ERLOGEN, es sind alles Fakes!

 

Nützliche Links

Wenn man einem solchen Trick zum Opfer gefallen ist, hat man in der Regel eine lange Liste von Aktivitäten (Likes, etc.) in seinem Aktivitätenprotokoll. Hier kann man dieses einsehen und die Aktionen rückgängig machen (unlike, Posts löschen, etc.): Klickt in dem Drop-Down Menü von Facebook auf Aktivitätenprotokoll (siehe Bild).

image

Damit sollten unserer Erkenntnis nach die Gefahr in soweit behoben sein. Zusätzlich könnt ihr statt den automatischen Köder-Beiträgen dann den Link zu diesem Artikel bzw. unseren Facebook-Post teilen.

Falls jemand nicht mehr auf seinen Account zugreifen können sollte, kann er sich hier bei Facebook an das zuständige Team wenden: https://www.facebook.com/hacked

Autor: Rüdiger, mimikama.at