Montag, 21. Juni 2010

Clickjacking: Entführte Mausklicks

Bundesamt warnt vor neuer Betrugsmethode bei Facebook und Co.
von Alfred Krtüger

Hijacker entführen Flugzeuge. Dass man auch Mausklicks entführen kann, beweisen Clickjacker bei Facebook und Co. Sie manipulieren Webseiten und missbrauchen die Klicks, die arglose Surfer dort tätigen. Ihr Motiv: Provisionen für Klingelton-Abos.
Sex sells. Was in der Werbebranche gilt, trifft auch auf Schadprogramme zu: Mit der Aussicht auf nackte Tatsachen lassen sich noch immer viele Surfer locken. Zum Beispiel bei Facebook. Unbekannte verbreiteten dort tagelang Links zu einer Webseite, die angeblich die "101 heißesten Frauen der Welt" präsentierte.

Unsichtbare Seite leimt Facebook-Nutzer

Die Links wurden über die Statusmeldungen von Facebook-Nutzern weitergegeben. "Wer bei der Nutzung von Facebook auf den Link stößt, sollte ihn in keinem Fall anklicken", warnte sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) - aus gutem Grund. Der Link führte nämlich auf eine besonders raffiniert manipulierte Webseite.
 
Hier wurde dem Facebook-Nutzer zunächst ein harmloses Foto der Schauspielerin Jessica Alba präsentiert. Wer mehr sehen wollte, sollte auf den Link unter dem Foto klicken. Was die neugierigen Netzwerker, die diese Seite ansurften, nicht ahnten: Im Hintergrund hatte sich in einem sogenannten iFrame bereits eine weitere Seite geöffnet. Sie war unsichtbar und hatte sich wie eine Hülle über die besuchte Seite gelegt.

Link verbreitete sich wie ein Virus

Die unsichtbare Seite enthielt nichts weiter als den "Gefällt mir"-Button, mit dem Facebook-Nutzer ihren Freunden per Mausklick mitteilen können, dass ihnen zum Beispiel eine Webseite gefällt. Wer auf der Seite mit dem Alba-Foto "mehr" sehen wollte und auf den fraglichen Link klickte, aktivierte, ohne es zu wollen, den "Gefällt mir"-Knopf in seinem Facebook-Profil und teilte allen Freunden mit, dass ihm die "Alba-Seite" gefiel.
 
Damit hatten die Facebook-Betrüger ihr Ziel erreicht. Die "Gefällt mir"-Meldungen ihrer Opfer wurden bei jedem Mausklick an deren Freunde weitergeleitet. Sie wurden zum Vehikel, um den fraglichen Link zu verteilen. Das Kalkül ging auf. Der Link verbreitete sich im Facebook-Netzwerk wie ein Virus.

Infobox

Wie man sich schützen kann

Die Clickjacking-Schwachstelle bei Facebook und anderen sozialen Online-Netzwerken ist grundsätzlich unabhängig vom verwendeten Browser ausnutzbar, warnt das BSI. Jeder Nutzer kann also zum Opfer werden. Wer mit dem Firefox surft, kann sich mit der Browser-Erweiterung NoScript(Externer Link - Öffnet in neuem Fenster) vor Clickjacking schützen. Für andere Browser gibt es noch keinen entsprechenden Schutz.

Das BSI und andere Sicherheitsexperten raten deshalb, beim Anklicken von Links, die bei Facebook und Co. über Statusmeldungen, persönliche Nachrichten oder im Chat verbreitet werden, immer besonders vorsichtig zu sein.

Facebook-Nutzer sollten zudem ihr Profil immer im Auge behalten und ihre Statusmeldungen regelmäßig auf manipulierte Einträge kontrollieren. Solche Einträge sollten umgehen gelöscht werden.

Clickjacking weiterhin gefährlich
 
Experten sprechen von Clickjacking, wenn ein Mausklick "entführt" wird und heimlich Aktionen auslöst, die der Nutzer nicht beeinflussen kann. Facebook hat mittlerweile reagiert und den fraglichen Link auf eine schwarze Liste gesetzt. Das Clickjacking auf der "Jessica-Alba-Seite" produziert nur noch eine Fehlermeldung. Doch die Gefahr ist nicht vorbei.
 
Graham Cluley vom Sicherheitsunternehmen Sophos hat in den letzten Wochen eine Vielzahl weiterer Webseiten entdeckt, die Facebook-Mitglieder nach demselben Muster hereinlegen wollten. Es sei erstaunlich, wie schnell sich diese Links ausbreiten und wie gut das "Entführen" von Mausklicks funktioniere, sagt Cluley.

Provision für die Betrüger

In den bisherigen Clickjacking-Fällen ging es den Betrügern zumeist darum, mit den entführten Mausklicks Geld zu verdienen. Die Seite mit dem Jessica-Alba-Foto war zum Beispiel in ein Werbenetzwerk eingebunden. Wer auf den Link unter dem Foto klickte, gelangte auf die Webseite eines bekannten Männermagazins.

Bevor man die Magazinseiten aufrufen konnte, musste eine vorgeschaltete Webseite besucht werden. Hier sollte der Nutzer entweder an einer Pseudo-Umfrage teilnehmen und die Chance bekommen, 1000 Euro zu gewinnen, oder einen Klingelton herunterladen. Wer an der Umfrage teilnahm, musste seine persönlichen Daten preisgeben.
 
Den Klingelton gab es gegen Eingabe der Handynummer. Wer ihn herunterlud, schloss ein kostenpflichtiges Abzock-Abo in Höhe von 4,99 pro Woche ab - übrigens bei einer deutschen Firma mit Sitz in Berlin. Die Facebook-Betrüger kassierten für jeden Nutzer, der an der "Umfrage" teilnahm oder einen Klingelton herunterlud, eine Provision.
 

BSI warnt vor Nachahmern

Es sei zu erwarten, dass in Zukunft weitere Betrüger auf den erfolgreichen Clickjacking-Zug aufspringen, schätzt das BSI. Außerdem sei nicht ausgeschlossen, dass über die Technik des Clickjacking künftig auch Schadprogramme verbreitet oder Facebook-Nutzer auf Phishing-Seiten gelockt werden könnten, so das BSI.

Keine Kommentare:

Kommentar veröffentlichen