Skip to content

Likejacking - Facebook im Visier der Cyberkriminellen

Vor etwas mehr als einem Jahr wurde festgestellt, dass Facebooks Like-Button zum Clickjacking geradezu auffordert. Diese speziellen Angriffe wurden "Likejacking" getauft, und in der Zwischenzeit gab es eine Vielzahl davon.

Likejacking - Cyberkriminelle mögen Facebook!

Seit der Entdeckung des Likejacking kommt Facebook nicht zur Ruhe. Einen Mausklick auf einen Like-Button umzuleiten ist ebenso einfach wie die Folgen effektiv sind: Einmal unbemerkt geklickt, verbreitet das Opfer den Link zum Schadcode unter seinen Freunden, und die sorgen schon dafür, dass der Link weiter ge"like"d wird... solange, bis Facebook einschreitet und den entsprechenden Angriff durch Löschen der Nachrichten stoppt oder die Zielseite aus dem Verkehr gezogen wird. Seit einiger Zeit reagiert Facebook auf erkanntes "verdächtiges Verhalten" mit einer Nachfrage, einen generellen Schutz vor Clickjacking-Angriffen gibt es aber nicht (s.u.).

Dabei wäre es sehr einfach, dass Likejacking durch Zwischenschalten einer Sicherheitsabfrage generell zu verhindern. Da dann aber vielleicht nicht mehr so oft und viel ge"like"d wird wie ohne "Stolperstein", hat Facebook daran wohl kein Interesse. Den eigenen Kunden beim Liefern von Daten über sich Steine in den Weg zu legen passt halt nicht in Facebooks Geschäftsmodell.

"Sex sells"

Aber werfen wir mal einen Blick auf die Likejacking-Angriffe. Die Frage "Was wird für die Angriffe als Lockmittel genutzt?" lässt sich recht kurz beantworten: "Alles!". Ein paar Beispiele gefällig? Gerne!

"Sex sells" gilt bekanntlich für Schadsoftware aller Art, also auch für das Likejacking. So gab es z.B.

  • das "Girl who had sex with 5000 men" (August 2010),
  • die Nachricht "Cheerleaders gone wild - have to see this" (September 2010),
  • eine entblößte Cheryl Cole (Dezember 2010),
  • eine strippende italienische Lehrerin (Februar 2011),
  • die Nachricht "I lost all respect for Emma Watson when I seen this video! Outrageous!" (März 2011),
  • der aus dem Kleid gerutschte Busen des italienischen Models Marika Fruscio (März 2011),
  • ein Sex-Video von Fiona Xie (März 2011),
  • eine von hinten mehr oder weniger nackte Lehrerin (diesmal auf englisch, März 2011),
  • die Nachricht "Dad walks in on Daughter.." (Juni 2011),
  • eine Meldung über Lily Allens freigelegte Brüste und eine Frau, die in der Achterbahn einen Orgasmus bekam (Juni 2011) und
  • die Nachricht "ÖMG: BRÔTHËR rãpés hís sïstér..." (die Sonderzeichen sind original, was auch immer die Cyberkriminellen durch das Aufgreifen dieses uralten Spammer-Tricks bezwecken wollen, Juli 2011).

Prominente als Lockvogel

Auch Prominente eignen sich sehr gut als Lockvogel. Sei es, dass sie fälschlich für tot erklärt werden wie z.B. Charlie Sheen (März 2011) oder Lady Gaga (August 2011), angeblich verhaftet wurden wie Christina Aguilera (März 2011) oder wie schon oben aufgeführt angeblich auf Sex-Videos oder Fotos zu sehen sind.

Jede Nachricht ist ein guter Lockvogel

Ebenfalls beliebt sind Meldungen nach dem Muster "Mädchen/Junge macht ...", z.B.

  • die Nachricht "Girl killed herself, after her dad posted This to her Wall", ein immer gern wieder aufgegriffener Klassiker, der erstmals im September 2010 eingesetzt wurde,
  • die Nachricht "I can't believe a GIRL did this because of Justin Bieber" (die gleichzeitig noch einen Promi mit ausnutzt, November 2010), oder
  • die Nachricht "Boy reaction after his Ex girlfriend posted on his wall" (Juni 2011) oder
  • die Nachricht "This girl killed herself after her dad posted a secret of her on her fb wall." (Juni 2011).

Eigentlich alles, was viele Menschen interessiert, ist ein idealer Köder, seien es Katastrophen wir das Japan-Erdbeben ("Japanese Tsunami Launches Whale Into Building", März 2011) , ein neuer Kinofilm (z.B. "Twilight Breaking Dawn", April 2011) oder der Tod eines Prominenten (z.B. angebliche Videos von Amy Winehouses Tod, Juli 2011). Und natürlich werden auch schlicht erfundene "sensationelle" Nachrichten als Köder missbraucht, z.B. die Nachricht "OMG... Look What This 6 YEAR OLD found in Her HAPPY MEAL from McDonalds! on CLICK HERE TO SEE." (Oktober 2010), die Geburt eines Riesenbabys (Mai 2011), "The World Funniest Condom Commercial" (Mai 2011) oder das entdeckte Geheimrezept vom Coca Cola (Februar 2011, auf italienisch)

Oh, und nicht zu vergessen Facebook selbst - warum sollte man Facebook-Benutzer nicht mit einer Facebook-Nachricht ins Verderben locken? Z.B. mit angeblich kostenlosen Facebook Credits (September 2010).

Cyberkrimineller Übersetzungsdienst

Während die Likejacking-Angriffe anfangs nur mit englischen Texten als Köder arbeiteten, erweitern die Cyberkriminellen ihr Programm nun nach und nach und verwenden auch Texte in anderen Sprachen als Lockvögel, wie oben ja zum Teil schon erwähnt wurde. So wurde z.B. der englische Text "OMG, dad catches daughter on webcam" ins Finnische übertragen (wobei natürlich auch die Folgeseiten übersetzt wurden), und auf Deutsch gab es die Nachricht "SCHRECKLICH! Unfall im Europa Park in Deutschland!".

Das eigentliche Ziel der Cyberkriminellen

Anfangs gaben die Angreifer sich noch damit zufrieden, ihre Nachricht möglichst vielen Facebook-Benutzern unter zu schieben. Diese Zeiten sind lange vorbei. Inzwischen nutzen die Cyberkriminellen die Angriffe um direkt Geld zu verdienen, vertrauliche Daten abzufragen oder Zugriff auf das Facebook-Konto des Benutzers zu erlangen. Ersteres z.B. durch eingeblendete Werbung, das Ausfüllen von Umfragen oder den tatsächlichen Verkauf von realen oder virtuellen Gütern, letzteres durch Unterschieben einer bösartigen Facebook-Anwendung. Und die Daten werden einfach im Rahmen eines "Security Checks" ganz offen abgefragt.

Theoretisch ist natürlich auch das Verbreiten von Drive-by-Infektionen möglich. Das ist bisher nicht passiert, dürfte aber früher oder später folgen. Warum sollten die Cyberkriminellen gerade auf diese Möglichkeit verzichten?

Viele über Likejacking verbreitete Links führen zu (angeblichen) Videos auf Seiten wie FouTube, FbVideo und YoTube. Beim Versuch, das "Video" zu starten, wird der Klick abgefangen und auf einen unsichtbaren Like-Button umgeleitet. Danach soll dann oft eine Umfrage ausgefüllt werden, für die die Cyberkriminellen dann bezahlt werden.

Was macht Facebook?

Facebook macht auf jedem Fall zu wenig. Eine sichere Methode, Likejacking zu verhindern, bestünde z.B. in einer Alertbox mit einer Nachfrage (eine Nachfrage direkt auf der Seite könnte wieder Opfer eines Clickjacking-Angriffs werden). Facebook hält das Clickjacking jedoch für eine Browser-Schwachstelle (was sehr bequem ist, da man dann ja nicht ernsthaft was dagegen tun muss), und reagiert lediglich auf bekannte Angriffe und verdächtige Aktionen:

"We have built defenses to detect clickjacking of the Facebook Like button and to block links to known clickjacking pages. Recently, we improved our systems to also alert people if we think they’re being tricked. Now, when we detect something suspicious, we’ll ask you to confirm your like before posting a story to your profile and your friends’ News Feeds."

Zumindest funktioniert die Schutzfunktion, wenn sie eine verdächtige Aktion bemerkt. Das scheint aber nicht gerade zuverlässig zu funktionieren.

Ach ja: XSS ist natürlich auch eine Browser-Schwachstelle... Komisch nur, dass überall sonst die Webanwendungen davor geschützt werden. Das erinnert doch sehr an den Autofahrer auf der Autobahn, der die Radio-Warnung vor einem Geisterfahrer mit "Einer? Hunderte!" kommentiert.

Nach dem Angriff: Aufräumen

Wenn Sie einem Likejacking-Angriff zum Opfer gefallen sind, sollten Sie den Schaden so schnell wie möglich beheben: Entfernen Sie alle entsprechenden Nachrichten aus Ihrem News-Feed (dazu dient das kleine "x" in der rechten oberen Ecke der Nachrichten). Falls Sie irgendwo Ihre Handy-Nummer eingetragen haben, achten Sie in nächster Zeit auf Ihre Abrechnung, u.U. versuchen die Cyberkriminellen, sich von Ihrem Konto zu bedienen.

Falls einer Ihrer Facebook-Freunde Opfer eines Angriffs wurde und Sie auf eine verdächtige Nachricht in seinem Feed stoßen, informieren Sie ihn darüber und erklären Sie ihm, wie er die Nachricht löschen kann.

Facebook ist natürlich nicht das einzige Opfer von Clickjacking, nur das häufigste. Und solange man das durch den schlecht geschützten Like-Button provoziert, wird sich daran wohl nichts ändern. Was sich ansonsten beim Clickjacking getan hat, erfahren Sie in der nächsten Folge.

Carsten Eilers

Update 13.5.2015
Aus Anlass des 5jährigen Blog-Jubiläums habe ich alle Clickjacking-Artikel zusammengefasst, überarbeitet, ergänzt und auf den aktuellen Stand gebracht. Das Ergebnis ist ein (natürlich kostenloses) eBook im ePub- und PDF-Format: 5 Jahre Blog - Als Special: "Clickjacking"-eBook
Ende des Updates vom 13.5.2015


Übersicht über alle Artikel zum Thema

Clickjacking - Angriffe auf Seiten ohne Schwachstellen
Clickjacking - Auch komplizierte Aktionen sind möglich
Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe
Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
Clickjacking - "Likejacking" unter die Haube geguckt
Clickjacking - The next Generation
Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten
Cookiejacking - Keksdiebe im Internet Explorer
Likejacking - Facebook im Visier der Cyberkriminellen
Clickjacking - Gute und Schlechte Nachrichten
Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Neue Angriffe auf Webanwendungen über Clickjacking und Cookies
Clickjacking-Angriffe verhindern - der aktuelle Stand der Dinge
Clickjacking: Cross Origin Resource Jacking und ein Clickjacking-BeEF-PlugIn
Clickjacking: "Zaubertricks" ermöglichen Likejacking und mehr
Dieses und Jenes zum Clickjacking
5 Jahre Blog - Als Special: "Clickjacking"-eBook

Trackbacks

Dipl.-Inform. Carsten Eilers am : Präsentationen und Links zu meinen #wtc11-Vorträgen sind online

Vorschau anzeigen
Ich habe soeben die Präsentationen zu meinen Vorträgen auf der WebTech Conference hochgeladen. Sie finden Sie auf www.ceilers-it.de/konferenzen/ sowie auch hier: Client Security im Web 2.0 und mit HTML5 Beschreibung: Schwachstel

Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 2.2014 - Angriffsziel Webbrowser

Vorschau anzeigen
Im PHP Magazin 2.2014 ist ein Artikel über den aktuellen Stand der Sicherheit von HTML5 und JavaScript erschienen. Im PHP Magazin 3 und 4/2012 wurden zuletzt Artikel über die Sicherheit von HTML5 veröffentlicht. Da drängt s

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.