Dipl.-Inform. Carsten Eilers

Seit der Entdeckung des Likejacking kommt Facebook nicht zur Ruhe. Einen
Mausklick auf einen Like-Button umzuleiten ist ebenso einfach wie die
Folgen effektiv sind: Einmal unbemerkt geklickt, verbreitet das Opfer den
Link zum Schadcode unter seinen Freunden, und die sorgen schon dafür,
dass der Link weiter ge”like”d wird… solange, bis Facebook einschreitet
und den entsprechenden Angriff durch Löschen der Nachrichten stoppt
oder die Zielseite aus dem Verkehr gezogen wird. Seit einiger Zeit reagiert
Facebook auf erkanntes “verdächtiges Verhalten” mit einer Nachfrage,
einen generellen Schutz vor Clickjacking-Angriffen gibt es aber nicht (s.u.).

Dabei wäre es sehr einfach, dass Likejacking durch Zwischenschalten einer
Sicherheitsabfrage generell zu verhindern. Da dann aber vielleicht nicht
mehr so oft und viel ge”like”d wird wie ohne “Stolperstein”, hat Facebook
daran wohl
kein Interesse.
Den eigenen Kunden beim Liefern von Daten über sich Steine in den Weg
zu legen passt halt nicht in Facebooks Geschäftsmodell.

“Sex sells”

Aber werfen wir mal einen Blick auf die Likejacking-Angriffe. Die Frage
“Was wird für die Angriffe als Lockmittel genutzt?”
lässt sich recht kurz beantworten: “Alles!”. Ein paar
Beispiele gefällig? Gerne!

“Sex sells” gilt bekanntlich für Schadsoftware aller Art,
also auch für das Likejacking. So gab es z.B.

• das “Girl who had sex with 5000 men”
  (August 2010),

• die Nachricht “Cheerleaders gone wild – have to see this”
  (September 2010),

• eine entblößte Cheryl Cole
  (Dezember 2010),

• eine strippende italienische Lehrerin
  (Februar 2011),

• die Nachricht “I lost all respect for Emma Watson when I seen
  this video! Outrageous!”
  (März 2011),

• der aus dem Kleid gerutschte Busen des italienischen Models
  Marika Fruscio
  (März 2011),

• ein Sex-Video von Fiona Xie
  (März 2011),

• eine von hinten mehr oder weniger nackte Lehrerin (diesmal auf
  englisch,
  März 2011),

• die Nachricht “Dad walks in on Daughter..”
  (Juni 2011),

• eine Meldung über Lily Allens freigelegte Brüste und
  eine Frau, die in der Achterbahn einen Orgasmus bekam
  (Juni 2011)
  und

• die Nachricht “ÖMG: BRÔTHËR
  rãpés hís sïstér…” (die
  Sonderzeichen sind original, was auch immer die Cyberkriminellen durch
  das Aufgreifen dieses uralten Spammer-Tricks bezwecken wollen,
  Juli 2011).

Prominente als Lockvogel

Auch Prominente eignen sich sehr gut als Lockvogel. Sei es, dass sie
fälschlich für tot erklärt werden wie z.B. Charlie Sheen
(März 2011)
oder Lady Gaga
(August 2011),
angeblich verhaftet wurden wie Christina Aguilera
(März 2011)
oder wie schon oben aufgeführt angeblich auf Sex-Videos oder Fotos zu
sehen sind.

Jede Nachricht ist ein guter Lockvogel

Ebenfalls beliebt sind Meldungen nach dem Muster “Mädchen/Junge
macht …”, z.B.

• die Nachricht “Girl killed herself, after her dad posted This to
  her Wall”, ein immer gern wieder aufgegriffener Klassiker, der
  erstmals im
  September 2010
  eingesetzt wurde,

• die Nachricht “I can’t believe a GIRL did this because of
  Justin Bieber” (die gleichzeitig noch einen Promi mit ausnutzt,
  November 2010),
  oder

• die Nachricht “Boy reaction after his Ex girlfriend posted
  on his wall”
  (Juni 2011)
  oder

• die Nachricht “This girl killed herself after her dad posted a secret
  of her on her fb wall.”
  (Juni 2011).

Eigentlich alles, was viele Menschen interessiert, ist ein idealer Köder, seien
es Katastrophen wir das Japan-Erdbeben (“Japanese Tsunami Launches
Whale Into Building”,
März 2011) ,
ein neuer Kinofilm (z.B. “Twilight Breaking Dawn”,
April 2011)
oder der Tod eines Prominenten (z.B. angebliche Videos von Amy Winehouses
Tod,
Juli 2011).
Und natürlich werden auch schlicht erfundene “sensationelle” Nachrichten
als Köder missbraucht, z.B. die Nachricht “OMG… Look What This 6
YEAR OLD found in Her HAPPY MEAL from McDonalds! on CLICK HERE TO
SEE.”
(Oktober 2010),
die Geburt eines Riesenbabys
(Mai 2011),
“The World Funniest Condom Commercial”
(Mai 2011)
oder das entdeckte Geheimrezept vom Coca Cola
(Februar 2011,
auf italienisch)

Oh, und nicht zu vergessen Facebook selbst – warum sollte man
Facebook-Benutzer nicht mit einer Facebook-Nachricht ins Verderben locken?
Z.B. mit angeblich kostenlosen Facebook Credits
(September 2010).

Cyberkrimineller Übersetzungsdienst

Während die Likejacking-Angriffe anfangs nur mit englischen Texten als
Köder arbeiteten, erweitern die Cyberkriminellen ihr Programm nun nach und
nach und verwenden auch Texte in anderen Sprachen als Lockvögel, wie oben
ja zum Teil schon erwähnt wurde. So wurde z.B. der englische Text
“OMG, dad catches daughter on webcam” ins Finnische
übertragen
(wobei natürlich auch die Folgeseiten übersetzt wurden), und auf Deutsch
gab es
die Nachricht “SCHRECKLICH! Unfall im Europa Park in
Deutschland!”.

Das eigentliche Ziel der Cyberkriminellen

Anfangs gaben die Angreifer sich noch damit zufrieden, ihre Nachricht
möglichst vielen Facebook-Benutzern unter zu schieben. Diese Zeiten
sind lange vorbei. Inzwischen nutzen die Cyberkriminellen die Angriffe um
direkt Geld zu verdienen, vertrauliche Daten abzufragen oder Zugriff auf
das Facebook-Konto des Benutzers zu erlangen. Ersteres z.B. durch
eingeblendete Werbung, das Ausfüllen von Umfragen oder den
tatsächlichen Verkauf von realen oder virtuellen Gütern,
letzteres durch Unterschieben einer bösartigen Facebook-Anwendung.
Und die Daten werden einfach im Rahmen eines “Security Checks” ganz offen
abgefragt.

Theoretisch ist natürlich auch das Verbreiten von
Drive-by-Infektionen
möglich. Das ist bisher nicht passiert, dürfte aber früher
oder später folgen. Warum sollten die Cyberkriminellen gerade auf
diese Möglichkeit verzichten?

Viele über Likejacking verbreitete Links führen zu (angeblichen) Videos
auf Seiten wie
FouTube, FbVideo und YoTube.
Beim Versuch, das “Video” zu starten, wird der Klick abgefangen und auf
einen unsichtbaren Like-Button umgeleitet. Danach soll dann oft eine
Umfrage ausgefüllt werden, für die die Cyberkriminellen dann bezahlt
werden.

Was macht Facebook?

Facebook macht auf jedem Fall zu wenig. Eine sichere Methode, Likejacking
zu verhindern, bestünde z.B. in einer Alertbox mit einer Nachfrage
(eine Nachfrage direkt auf der Seite könnte wieder Opfer eines
Clickjacking-Angriffs werden). Facebook
hält
das Clickjacking jedoch für eine Browser-Schwachstelle (was sehr
bequem ist, da man dann ja nicht ernsthaft was dagegen tun muss), und
reagiert lediglich auf bekannte Angriffe und verdächtige Aktionen:

“We have built defenses to detect clickjacking of the Facebook Like
button and to block links to known clickjacking pages. Recently, we
improved our systems to also alert people if we think they’re being
tricked. Now, when we detect something suspicious, we’ll ask you to
confirm your like before posting a story to your profile and your
friends’ News Feeds.”

Zumindest
funktioniert die Schutzfunktion, wenn sie eine verdächtige
Aktion bemerkt. Das
scheint
aber nicht gerade zuverlässig zu funktionieren.

Ach ja: XSS ist natürlich auch eine Browser-Schwachstelle… Komisch
nur, dass überall sonst die Webanwendungen davor geschützt
werden. Das erinnert doch sehr an den Autofahrer auf der Autobahn, der die
Radio-Warnung vor einem Geisterfahrer mit “Einer? Hunderte!”
kommentiert.

Nach dem Angriff: Aufräumen

Wenn Sie einem Likejacking-Angriff zum Opfer gefallen sind, sollten Sie den
Schaden so schnell wie möglich beheben: Entfernen Sie alle
entsprechenden Nachrichten aus Ihrem News-Feed (dazu dient das kleine “x”
in der rechten oberen Ecke der Nachrichten). Falls Sie irgendwo Ihre
Handy-Nummer eingetragen haben, achten Sie in nächster Zeit auf Ihre
Abrechnung, u.U. versuchen die Cyberkriminellen, sich von Ihrem Konto zu
bedienen.

Falls einer Ihrer Facebook-Freunde Opfer eines Angriffs wurde und Sie auf
eine verdächtige Nachricht in seinem Feed stoßen, informieren
Sie ihn darüber und erklären Sie ihm, wie er die Nachricht
löschen kann.

Facebook ist natürlich nicht das einzige Opfer von Clickjacking, nur
das häufigste. Und solange man das durch den schlecht geschützten
Like-Button provoziert, wird sich daran wohl nichts ändern. Was sich
ansonsten beim Clickjacking getan hat, erfahren Sie in der
nächsten
Folge.

Carsten Eilers

Update 13.5.2015

Aus Anlass des 5jährigen Blog-Jubiläums habe ich alle
Clickjacking-Artikel zusammengefasst, überarbeitet, ergänzt und
auf den aktuellen Stand gebracht. Das Ergebnis ist ein (natürlich
kostenloses) eBook im ePub- und PDF-Format:
5 Jahre Blog – Als Special: “Clickjacking”-eBook


Ende des Updates vom 13.5.2015

Übersicht über alle Artikel zum Thema

Clickjacking – Angriffe auf Seiten ohne Schwachstellen

Clickjacking – Auch komplizierte Aktionen sind möglich

Clickjacking – Framebuster oder HTTP-Header verhindern Angriffe

Der Angriff der Clickjacking-Würmer, “Likejacking” und “Buttonjacking”

Clickjacking – “Likejacking” unter die Haube geguckt

Clickjacking – The next Generation

Clickjacking – Drag&Drop-Angriffe und weitere Neuigkeiten

Cookiejacking – Keksdiebe im Internet Explorer

Likejacking – Facebook im Visier der Cyberkriminellen

Clickjacking – Gute und Schlechte Nachrichten

Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu – nichts als Wiederholungen!

Neue Angriffe auf Webanwendungen über Clickjacking und Cookies

Clickjacking-Angriffe verhindern – der aktuelle Stand der Dinge

Clickjacking: Cross Origin Resource Jacking und ein Clickjacking-BeEF-PlugIn

Clickjacking: “Zaubertricks” ermöglichen Likejacking und mehr

Dieses und Jenes zum Clickjacking

5 Jahre Blog – Als Special: “Clickjacking”-eBook