SocialNetworkStrategien Crowdsourcing, Communities, Communitymanagement und Social Media Marketing

11Mrz/11Off

Vorsicht auf Facebook – Likejacking gefällt uns ganz und gar nicht

Autor des Artikels: Matias Roskos

[Ein Gastbeitrag von Felix Angermüller]

Auf Facebook findet man aktuell immer mehr Spambeiträge auf der Pinwand von Freunden, die dort nichts zu suchen haben. Und viele klicken auf diese Spambeiträge und fallen so auf dieses „Clickjacking“ herein. Es gab in den vergangenen Tagen schon den ein oder anderen Artikel dazu im Internet. Auch ich wollte dieses Thema hier auf Socialnetworkstrategien.de unbedingt beleuchten und habe daher einen guten Internet-Freund und geschätzten Entwickler-Experten gebeten, dazu etwas Fundiertes zu schreiben. Hier sein Artikel, der Ihnen hoffentlich hilft das „Clickjacking“ nicht zu verstehen, sondern auch zu vermeiden selbst ein Opfer dessen zu werden.

Schon seit längerem existiert der Begriff des „Clickjacking“, der vereinfacht gesagt alle möglichen Täuschungsversuche im Bereich von Webseiten umschreibt. Im Rahmen von Facebook kommt nun auch immer mehr das so genannte „Likejacking“ auf. Es werden Likes (= gefällt mir) erzeugt, ohne dass der Benutzer dies beabsichtigt oder gar bewusst veranlasst hat.

Der folgende Artikel soll auch Nicht-Technikern die zugrundeliegende Problematik näher bringen. Technische Aspekte sind daher stark vereinfacht beschrieben und nicht unbedingt technisch komplett korrekt erläutert. Das einfache Verständnis ohne Fachwissen soll im Vordergrund stehen.

Warum sollte ich diesen Artikel lesen?

Das Likejacking ist zunächst nicht besonders gefährlich, da lediglich ein harmloser, wenngleich ungewollter „Like“ (= gefällt mir) erzeugt wird. Allerdings können durch den Netzwerkeffekt, den soziale Netze wie Facebook mit sich bringen, viele Benutzer innerhalb kürzester Zeit auf eine „böse“ Webseite gelockt werden, die dann beispielsweise eine Schwachstelle im Betriebssystem oder Browser ausnutzt.

Im Rahmen dieses Artikels wäre es zu umfangreich, alle möglichen Angriffsszenarien und deren Auswirkungen zu erläutern. Allerdings ist jeder Computernutzer gut beraten, seinen Computer bestmöglich zu schützen und „sauber“ zu halten. Waren private Computer in der Vergangenheit meist vor allem über Email-Adressbücher und Instant Messenger „vernetzt“, ergeben sich durch umfangreiche Vernetzung über Soziale Netzwerke ganz neue und effizientere Verbreitungswege für allerlei Schadsoftware.

Die Webseite – zunächst ein leeres Blatt Papier

Vereinfacht kann man sich eine Webseite als zunächst leeres Blatt Papier vorstellen. Sie wird auf einem Server (= besonders schneller Computer) abgelegt. Wenn ein Benutzer die Webseite einsehen möchte, gibt er die Domain in seinem Browser ein (www.meine-beispiel-seite.de). Der Browser sucht automatisch den Server, auf dem die gewünschte Webseite abgelegt wurde und zeigt sie anschließend dem Benutzer am Bildschirm an.

Server Nutzer Beziehung

Der Autor/Entwickler der Webseite kann nun vor allem mit HTML dem ursprünglich leeren „Blatt Papier“ Inhalte wie Texte und Bilder hinzufügen. Soll die Webseite aber auch interaktive Elemente enthalten (z.B. Hochladen eines Fotos), muss der Entwickler so genannte Programmiersprachen einsetzen. Mit Hilfe dieser Sprachen, die Computer verstehen können, kann ein Entwickler ganz bewusst ein gewünschtes Verhalten (z.B. Übertragung des Fotos vom Benutzer zum Server) der Webseite bewirken.

JavaScript – Fluch und Segen zugleich

JavaScript ist heute in allen großen Browsern automatisch mitinstalliert und bietet in erster Linie verschiedene Funktionen, um das, was ein Benutzer sieht, aktiver, lebendiger und komfortabler zu gestalten.

Auf seriösen Webseiten wird JavaScript z.B. dazu eingesetzt, die Eingaben des Benutzers zu überprüfen oder eine Textbox mit weiteren Informationen zu öffnen. Die umfangreichen Funktionen von JavaScript lassen sich aber auch so einsetzen, dass ungewollte Aktionen ausgeführt werden. Die wohl berühmtesten Vertreter sind die Werbe-PopUps, die einem automatisch entgegen springen.

Grundsätzlich lässt sich jede Programmiersprache zweckentfremden bzw. für ungewollte / bösartige Aktionen nutzen. Wie bereits erwähnt ist JavaScript aber durch die automatische Mitinstallation weit verbreitet und bietet zudem umfangreichen Zugriff auf das, was dem Benutzer am Bildschirm angezeigt wird.

JavaScript – einfach abschalten und alles ist gut?

Leider ist es nicht ganz so einfach. Natürlich kann man über die Einstellungsmenüs der Browser JavaScript komplett deaktivieren, so dass selbst ein Klick auf einen bestimmten Button auf einer Webseite dann einfach ohne Folgen bleibt. Allerdings sperrt man sich dann auch zahlreiche nützliche Funktionen auf seriösen Webseiten. So wird beispielsweise auf Facebook eine Technik Namens AJAX eingesetzt, die neue Statusupdates der Freunde automatisch nachlädt, ohne dass der Benutzer die Seite neu laden muss. Auf Google werden beliebte Suchbegriffe bei der Eingabe der ersten Buchstaben automatisch geladen und als Vorschläge angezeigt. Zentraler Bestandteil von AJAX ist JavaScript, eine Abschaltung deaktiviert somit also auch zahlreiche Komfortfunktionen.

In einem weiteren, separaten Artikel werden in Kürze verschiedene Alternativen zur kompletten Abschaltung vorgestellt werden. An dieser Stelle wollen wir uns zunächst auf das Likejacking-Problem konzentrieren.

Clickjacking – Täuschung des Benutzers

Dem Benutzer wird eine harmlos aussehende Webseite angezeigt, im Hintergrund liegen allerdings unsichtbare Elemente, die vor allem mit Hilfe von JavaScript durch Mausklicks oder einfache Mausbewegungen aktiviert werden. Man kann beispielsweise mit wenigen Codezeilen ein Fenster mit dem Inhalt „Dein Computer hat einen Virus!“ auf den Bildschirm des Benutzers ausgeben.
Wer möchte, kann testen: http://static.nuvidian.de/jstest/clickjacking.html (es passiert nichts Gefährliches, es ist nur eine belanglose Meldung)

Likejacking – die Facebook-Adaption

Wie wir beim Clickjacking gesehen haben, werden ohne Zutun bzw. Willen des Benutzers Aktionen ausgeführt. Im Rahmen des Likejackings werden automatisch und ohne expliziten Klick des Benutzers Likes (= gefällt mir) generiert, sofern man parallel bei Facebook eingeloggt ist. Man „liket“ also Inhalte (Links, Fotos etc.), ohne jemals selbst bewusst den Like-Button geklickt zu haben.

An dieser Stelle soll darauf hingewiesen werden, dass nichts gehackt wird, sondern der Benutzer schlichtweg „nur“ getäuscht wird. Anstatt einem Klick auf z.B. ein Video wird versteckt im Hintergrund der Like-Button geklickt.

Ein aktuelles Beispiel

Im folgenden Ausschnitt einer Webseite ist ein eingebundenes YouTube Video zu sehen. Normalerweise wird so ein YouTube Video direkt als Flash-Element in einer Webseite eingebunden. Der Datenstream (sprich das Video) kommt direkt von den YouTube-Servern. In diesem Beispiel trügt der Schein allerdings! Das was wir hier sehen, ist nur der Screenshot eines YouTube Videos. Es wurde also nur ein YouTube-Player „abfotografiert“. Klickt man auf das Video, wird nicht – wie man es sonst kennt – das Video gestartet, sondern erst durch den Klick wird der eigentliche Video-Player geladen. Gleichzeitig mit dem Klick wird auch ein Facebook Like (= gefällt mir) erzeugt, ohne dass das der Benutzer mitbekommt. Wenn man bei Facebook nicht eingeloggt ist, wird ein Login-Fenster geladen.

ein Video-Fake

Ein Fachmann wird sofort merken, dass hier etwas nicht stimmt. Der Otto-Normal-Surfer wird sich wenn überhaupt nur ggf. über das Login-Fenster wundern. Bei parallelem Facebook-Login wird der Laie wohl keinen Verdacht schöpfen.

Man kann hier allerdings erkennen, dass zu Anfang nicht der Video-Player geladen ist, sondern ein einfacher Screenshot eingefügt wurde: die Player-Buttons im unteren Bereich, v.a. unten rechts, sind allesamt ohne Funktion. Normalerweise könnte man hier z.B. das Video in Vollbildansicht öffnen.

Was kann man gegen Likejacking tun?

Im Falle eines YouTube-Videos kann man dieses rechts anklicken und im sich öffnenden Menü prüfen, ob unter anderem „Hosted on YouTube“ aufgeführt ist. Wurde wie im obigen Beispiel nur ein Screenshot (sprich ein Bild) eingefügt, sind vor allem Menüeinträge wie „Bild speichern …“ zu finden.

Youtube Rightklick

Dieser Tipp „funktioniert“ allerdings auch nur in diesem konkreten Beispiel. Andere Likejacking-Attacken sind vielleicht grundlegend anders gelöst (z.B. gar kein Video sondern ein verlockender Button).

Grundsätzlich schadet es nie, bei besonders aufreißerischen Inhalten („Deine Nachbarin nackt vor der Webcam!“, „Welchem VIP siehst Du ähnlich?“) misstrauisch zu werden. An dieser Stelle können leider keine umfangreichen, vollständigen Tipps gegeben werden, da eventuelle Gefahren und deren Erkennungsmöglichkeiten stark situationsabhängig sind.

Wenn man im Falle eines Likejackings entsprechende Posts im eigenen Freundesnetzwerk entdeckt, sprich auf der eigenen Facebook Startseite, kann man bei dem betreffenden Eintrag auf das kleine „ x “ klicken und dort „Als Spam markieren“ wählen. Anschließend bietet Facebook noch eine detailliertere Liste (Spam, Gewalt, sexuelle Inhalte usw.) und man kann somit innerhalb von wenigen Sekunden eine Meldung an Facebook senden. Wenn viele Leute immer wieder z.B. das gleiche Video melden, wird Facebook früher oder später darauf aufmerksam und die entsprechende Webseite sperren. Somit können dann keine weiteren ungewollten Likes erzeugt werden.

an Facebook melden

Außerdem sollte man den ungewollten Like aus dem eigenen Profil entfernen. Dazu entweder auf der Facebook Startseite oder auf der eigenen Profilseite bei dem betreffenden Post auf das kleine „ x “ und „Beitrag und gefällt mir entfernen“ klicken.

Je schneller man das macht, desto schneller wird die Verbreitung unterbrochen.

Über den Autor
Felix Angermüller, Jahrgang 1987, ist mit Computern und dem Internet groß geworden. Bereits zu Schulzeiten wurde mit einem Teamkollegen aus dem Schulprojekt business@school ein Unternehmen gegründet, das sich neben Computerhardware vor allem auch mit Webprogrammierung beschäftigt. Momentan baut Felix mit Nuvidian eine separate Marke auf, die sich voll und ganz dem Thema Social Media widmet.

hat dir dieser Artikel gefallen?

Dann abonniere doch diesen Blog per RSS Feed!

Autor Info's mit anzeigen Matias Roskos

Kommentare (2) Trackbacks (2)
  1. Klasse Artikel!! Vielen Dank für diesen sehr verständlich gehaltenen Beitrag an Felix und auch an Matias für die Veröffentlichung. Dieser Artikel wird gleich die Runde an meine Kunden machen, denn besser erklären kann man´s nicht!!

  2. Die Seite hilft mir immer dabei auf der Hut zu bleiben :)
    http://www.facebook.com/fb.privatsphaere