-Produktempfehlung: Kaspersky lab-

Viele Nutzer berichten uns aktuell über ein angebliches Angebot auf Facebook. Beworben werden gratis Schuhe der Firma UGG Australia. Zu sehen waren diese Angebote zum Beispiel kurzzeitig auf den Seiten von Milka und Jakobs. Es ist nicht auszuschließen das auch weitere Seiten Opfer dieser Masche geworden sind. Ebenfalls wird das Angebot über Statusmeldungen von Freunden verteilt und diese Statusmeldungen, von Freunden oder Seiten, wird man auf eine externe Seite geführt. 

Mittels einer Einladung werden Facebook Nutzer zu einer “Veranstaltung” eingeladen!

image

So sehen die Veranstaltungen aus:

image

Klickt man auf den Link dann öffnet sich diese Seite.

image

Wie man auf unserem Screenshot erkennen kann soll hier eine Verbindung mit Facebook zugelassen werden um einen Code zu generieren.

Dieser Code erscheint in der Adresszeile eines weiteren sich öffnenden Browserfensters. Kopiert man nun diesen Code in das dafür vorgesehene Eingabefeld auf der „fbunlimited“ Seite so wird umgehend ein Vorgang gestartet der folgende Aktionen auslöst (Scheinbar nicht bei allen Nutzern die gleichen. Warum das so ist konnten wir noch nicht feststellen, es könnte aber an den im Facebook Profil verwendeten Spracheinstellungen und eventuellen Prüfungen der Nutzer IP Adresse zu tun haben.):

  • Posten einer Statusmeldung mit einem Bild, dem Ködertext und einer Kurz-URL
  • Erstellen einer Veranstaltung und versenden von Einladungen an die gesamten Freundesliste
  • Installation einer Browsererweiterung
  • Abonnieren einer Facebook App

Während dies passiert bekommt der Nutzer nur ein PopUp angezeigt das darauf hinweist das das Angebot in seinem Land nicht verfügbar ist und auf ein anderes Angebot verwiesen.

Mit unserem Testprofil war es uns leider nicht möglich das Scenario komplett zu durchlaufen, daher müssen wir uns auf die Beschreibungen der meldenden Nutzer verlassen und die Berichte von facecrooks.com und allfacebook.de zu Rate ziehen:

Den angeblichen Gewinn-Code haben wir uns einmal etwas genauer angeschaut.
Es handelt sich dabei um einen sogenannten AccesToken für die Facebook API (Schnittstelle für Programmierer). Diese AccesToken werden von Apps benötigt um zum Beispiel im Namen des Nutzers agieren zu können.
Dieser ist also für die Posts, Veranstaltungen und Einladungen verantwortlich. Ist der Nutzer zusätzlich noch Inhaber von Adminrechten auf einer oder mehrerer Facebook Seiten so kann über diesen AccesToken auch im Namen der Seite gepostet werden.

Wie bei Facecrooks berichtet wird gibt es auch vereinzelt Versuche eine Browsererweiterung zu installieren und/oder weitere Apps dem Facebook Konto des Nutzers hinzuzufügen.

So sehen die Angebote aus:

Statusbeiträge

image

image

 

Wie kann ich vorgehen, wenn ich hereingefallen bin?

  • als erstes alle Seiten schließen die mit dem Angebot zu tun haben.
  • Freunde vor der Bedrohung warnen (z.b. durch teilen dieses Berichtes).
  • den Browser auf neue Erweiterungen und Addons prüfen.
  • die erstellte Veranstaltung aufrufen und oben rechts auf dem kleinen Zahnrad die Veranstaltung absagen.
  • das eigene Aktivitätenprotokoll öffnen (https://www.facebook.com/me/allactivity ) und alle Aktivitäten im Zusammenhang mit dem Angebot löschen.
  • verdächtige Sitzungen (Geräte oder Browser die euch unbekannt sind) hier (https://www.facebook.com/settings?tab=security&section=sessions&view) beenden.
  • eventuell diesen Service von Facebook nutzen: http://www.facebook.com/hacked.
  • den eigenen Rechner mit Antivirensoftware prüfen.
-Mimikama unterstützen-