Clickjacking: Facebook im Visier von Betrügern
Wie sich ahnungslose User schädliche Trojaner auf die Festplatte bügeln
"Was ist Clickjacking? Wo liegen die Gefahren?"
Clickjacking ist eine Wortneuschöpfung, die sich aus den Begriffen "Click" und "Hijacking (engl.: "Entführung") zusammen setzt:
"Clickjacking ist eine Technik, bei der ein Computerhacker die Darstellung einer Internetseite überlagert und dann dessen Nutzer dazu veranlasst, scheinbar harmlose Mausklicks und/oder Tastatureingaben durchzuführen. "
Auszug aus wikipedia.de
Was bedeutet das im Klartext?
Facebook expandiert. Es gibt bereits über 400 Millionen User, von denen sich 50% mindestens einmal pro Tag einloggen. Es verwundert also nicht, dass auch die Programmierer von schädlicher Software das Social-Media-Zeitalter für sich entdeckt haben.
Dementsprechend kursieren auf Facebook seit Anfang diesen Jahres zunehmend Videos, die meist skandalöse Nachrichten aus der Welt der Promis versprechen. So machte zum Beispiel Anfang März ein Video mit der vermeintlichen Verhaftung Christina Aguileras die Runde, der angebliche verstorbene Charlie Sheen wurde abtransportiert und "schockierende Inhalte" über Muslime gelangten an die Öffentlichkeit.
Da Video-Empfehlungen wie diese von Freunden zu kommen scheinen, und die reißerischenTitel einen gewissen Unterhaltungswert versprechen, wird meist bedenkenlos geklickt. Als Folge findet sich der Benutzer in der Regel auf einer fremden Webseite wieder, auf der er beispielsweise zur Teilnahme an einer Umfrage aufgefordert wird. Gleichzeitig wird ihm die notwendige Installation einer Fremd-Software nahegelegt. Spätestens zu diesem Zeitpunkt sollten bei jedem halbwegs sauber tickenden Benutzer sämtliche Alarmglocken läuten!
Zusätzlich zu dem unfreiwilligen Besuch der fremden Webseite kann im Hintergrund eine zusätzliche Aktion ausgeführt werden, die den angeklickten Link auf den Pinnwänden sämtlicher befreundeter Nutzer verbreitet. Die Rede ist vom sogenannten "Likejacking".
"Likejacking? Worum gehts?"
Es ist für jeden halbwegs versierten Programmierer möglich, einen unsichtbaren Button über beliebige Inhalte einer Webseite zu legen. Dazu kommt, dass die Facebook-Macher die Funktionalität des "Gefällt mir"-Buttons vor einiger Zeit erweitert haben, so dass er - selbstverständlich - auch im nicht ursprünglich beabsichtigten Sinne missbraucht werden kann. Es fällt leicht, dieses Szenario weiter zu spinnen: Ein Surfer, per Clickjacking von seiner Facebook Seite weg gelockt, landet auf einer neuen Webseite mit fremdem Inhalt, in unserem Beispiel einem vermeintlichen Videoplayer. Klickt er nun auf "Play" wird allerdings eine "Gefällt mir"-Aktion ausgelöst, ermöglicht durch die noch bestehende Verbindung zu seinem Facebook-Account. Die Erkenntnis, zur unfreiwilligen Spam-Schleuder geworden zu sein, kommt in dem Moment zu spät: Es wurde ja bereits auf der eigenen Pinnwand gepostet, dass man Fan dieses Videos ist. So erscheint die Nachricht auf den Startseiten sämtlicher Facebook-Freunde und wartet auf den nächsten unüberlegten Click eines ahnungslosen Benutzers.
Das Ärgernis liegt aber nicht im Spam alleine. Es kann sich im schlimmsten Fall durchaus ein Trojaner auf dem Rechner einnisten. Doch: Dies geschieht praktisch nie ohne die klare Einwilligung des Benutzers, wenn auch "unbewusst". Neben dem Download und der Installation von schädlicher Software kann es sich nämlich als genauso gefährlich herausstellen, bestimmten Apps Zugriff auf die eigenen Profilinformationen zu gewähren. Auf diese Weise wird es einem Trojaner beispielsweise ermöglicht, Spam-Nachrichten an alle Facebook-Freunde des Nutzers zu verschicken. Komplett automatisiert. Ohne davon zu wissen, wird man selbst zum Spam-Verbreiter.
Einen "einfachen" Schutz gegen Click- und Likejacking gibt es leider nicht. Das Zusatzprogramm "No Script" für den Firefox unterbindet zwar das Ausführen von potentiell schädlichem Code, kann sich aber auch negativ auf die Funktionalität einer Webseite auswirken. Also wird derzeit nach einer Lösung gesucht, die ganze Geschichte um den "Gefällt mir"-Button sicherer zu machen. Eine praktikable Lösung ist aber noch nicht in Sicht. Bis dahin sollte man mit offenen Augen durchs Web surfen, und doppelt prüfen, was man anklickt.