Fotostrecke

Klickbetrug: Die Tricks der Facebook-Abzocker

Online-Abzocke Die fiesesten Facebook-Maschen

Schau dir an, wer dein Profil aufgerufen hat! Mit solchen Versprechen bringen Online-Gangster viele Facebook-Nutzer dazu, schädliche Programme runterzuladen. Die Betrugsmaschen sind vielfältig und verfolgen stets nur ein Ziel: Geld ergaunern - bei Facebook warten 750 Millionen potentielle Opfer.

Selbstmörder, Osama bin Laden, das Dschungelcamp, Charlie Sheen, der Unglücksreaktor von Fukushima - sie alle standen schon in den Diensten von Online-Abzockern. Denn um sie ging es in betrügerischen Pinnwandeinträgen, Facebook-Nachrichten und -Chats. Die Promis, Unglücke oder vermeintlichen Skandale sollen genau wie die berühmten "Schau dir an, wer dein Profil aufgerufen hat!"-Anwendungen nur eines bezwecken: Das Opfer auf einen Link klicken zu lassen. Denn so ein Klick genügt oftmals schon, um Nutzer in die Falle zu locken.

Nirgendwo im Web sind so viele potentielle Opfer versammelt wie bei Facebook. Außerdem missbrauchen die Abzocker das Grundprinzip des sozialen Netzwerks: Viele Anwender klicken reflexartig auf Links in Facebook-Nachrichten und Pinnwandeinträgen. Die sensationelle Botschaft mit dem Link kommt ja - anders als die Spam-Mail aus Nigeria - von einem Freund und ist deswegen vermeintlich vertrauenswürdig.

So vielfältig die Betrugsversuche sind, die jeweiligen Hintermänner wollen letztendlich alle nur eines: Geld. Je nach Angriffsart stammen die Summen zum Beispiel von Werbekunden, die Banner für eher zwielichtige Angebote wie Online-Glücksspiele oder Porno-Seiten schalten und sich nicht darum scheren, wie die Besucher auf ihre Seiten gelotst werden. Oder der Cyber-Untergrund bietet Geld für abgeschöpfte persönliche Daten, die das Opfer bei vermeintlichen Marktforschungsumfragen freiwillig eingibt. Wahlweise wird auch Schadsoftware, getarnt als Antivirensoftware, verteilt. Pro infiziertem PC kassiert hierbei der, der das Opfer in die Falle gelockt hat - so expandiert zum Beispiel das Botnet TDL4.

Fast alle bisher aufgetauchten Betrügereien laufen mit Ausnahme des Datendiebstahls durch bösartige Facebook-Anwendungen auf externen Servern. Der erwähnte Klick führt die Opfer auf Webserver, die unter der Kontrolle der Kriminellen stehen und nichts mit Facebook zu tun haben. Oftmals ist die Optik dieser externen Seiten mehr schlecht als recht an das Facebook-Design angelehnt. Dem Erfolg der Betrugsmasche tut dies jedoch keinen Abbruch. Das kann jeder nachvollziehen, der sich tagtäglich über die vielen merkwürdigen Einträge an den Pinnwänden der eigenen Facebook-Freunde wundert.

Nacktvideos, Dislike-Buttons und Profil-Spannerei - mit diesen Tricks locken Online-Betrüger Facebook-Nutzer auf infizierte Websites.

"Gefällt mir"-Knopf entführt

Damit sich Betrugsversuche möglichst schnell möglichst weit innerhalb der Facebook-Nutzergemeinde verbreiten, werden gerne "Gefällt mir"-Pinnwandeinträge erzwungen. Entweder muss das Opfer selbst auf "Gefällt mir" und "Teilen" klicken, um das angepriesene Video sehen zu können. Perfider ist da schon das sogenannte Clickjacking, also das Entführen von Mausklicks.

Bei dieser Betrugstechnik klickt das Opfer auf der Seite außerhalb von Facebook in der Regel auf den "Abspielen"-Knopf des vermeintlichen Videos. Manchmal startet das Video dann, manchmal erscheint eine Umfrage. Oder es passiert anscheinend gar nichts. Im Hintergrund wird jedoch stets durch den Klick automatisch ein "Gefällt mir"-Eintrag an der Pinnwand des Opfers angelegt. Vorausgesetzt, das Opfer ist noch bei Facebook angemeldet, was aber in der Regel der Fall ist. Denn zwischen den beiden Klicks (erst auf den Pinnwandeintrag des Freundes, dann auf das Video) liegen meist nur Sekunden.

Facebook hat Mitte Mai 2011 zwar angekündigt, dieser Betrugsmasche die Grundlage zu entziehen. Es sind aber auch nach diesem Datum noch reichlich Clickjacking-Angriffe aufgetaucht.

Vorsicht, Sie infizieren sich selbst!

Eine andere Facebook-Abzocke fordert das Opfer auf, einen "Code" zu kopieren. Dieser Code besteht aus JavaScript, einer mächtigen Programmiersprache für Web-Seiten. Der Anwender soll das JavaScript in die Adresszeile seines Browsers kopieren und dann mit der Eingabetaste bestätigen.

De facto lässt das Opfer seinen Browser damit ein kleines Programm abarbeiten. Vorbei an allen Firewalls und Virenscannern. Das Skript kann nun alle möglichen Dinge im Namen des hereingelegten Facebook-Anwenders tun: Einen neuen Pinnwandeintrag anlegen, automatisch Chat- oder Facebook-Nachrichten an alle Facebook-Freunde des Opfers schicken, Veranstaltungseinladungen mit der Adresse des vergifteten externen Servers erzeugen und an die Freunde senden oder den Anwender in Fotos markieren. All dies passiert automatisch und ohne weiteres Zutun des Anwenders.

Facebook nennt diese Angriffe "Self XSS". Sinngemäß also "Selbst-Infektion". "XSS" steht für Cross Site Scripting, eine weit verbreitete Angriffstechnik, die Schwachstellen in Webservern missbraucht. Gegen XSS schützen weder Firewall, noch Virenscanner. Was jedoch schützt, ist der Verzicht auf das Kopieren des Codes in die Adresszeile.

Wer war auf meinem Profil?

Beinahe unendlich muten die Varianten des "Schau dir an, wer dein Profil aufgerufen hat!"-Betrugs an. Die Trickser kitzeln die Neugier des Anwenders. Schließlich finden es viele Nutzer zweifelsohne interessant, wer sich so auf dem eigenen Profil tummelt. Facebook selbst bietet diese Funktion nicht an. Dies machen sich die Betrüger zunutze, indem sie mit Anwendungen werben, die diese Lücke schließen.

Dabei weist Facebook sogar selbst darauf hin, dass Anwendungen gegen die Nutzungsbedingungen verstoßen, wenn sie eine solche Option anbieten.

Die Ausprägungen des Angriffs sind unterschiedlich: Mal soll die Funktion nach Kopieren eines JavaScripts , mal nach Installation einer Facebook-Anwendung bereitstehen. Natürlich bringen weder App noch Skript die erhoffte Funktion.

Gefällt mir nicht! - Der Dislike-Button

In eine ähnliche Kerbe wie die "Schau dir an, wer..."-Betrüger schlagen die Angreifer, die es mit angeblichen "Dislike"-Buttons versuchen, also mit dem Gegenteil des "Gefällt mir"-Knopfs (im Englischen "Like"-Button genannt). Immer wieder wird eine Anwendung angepriesen, die endlich negative Meinungsäußerungen per Mausklick zulassen soll. Dies ist in der heilen Welt von Facebook nicht vorgesehen und wird - geht es nach den Werbekunden - sicher auch nicht so schnell verwirklicht werden.

Es gibt eine Erweiterung für den Browser Firefox, die einen "Dislike"-Knopf bietet. Dieses Add-on funktioniert tatsächlich. Sichtbar sind die Klicks aber nur für Facebook-Nutzer, die die Erweiterung ebenfalls installiert haben.

Lassen Sie sich nicht ver-app-en!

Hin und wieder versuchen die Angreifer auch, ihren Opfern eine bösartige Facebook-Anwendung unterzuschieben. Diese Form hat aufgrund des - aus Sicht der Trickser - eher schlechten Verhältnisses von Aufwand zu Ertrag aber nachgelassen.

Gestartet werden die Attacken wie gewohnt per Pinnwandeintrag. Nach dem obligatorischen Klick öffnet sich zumeist eine auf einem externen Server gespeicherte Seite. Von dieser aus wird die Installation der Anwendung angestoßen: Ohne Anwendung kein Skandalvideo. Vor ihrer Installation fragt die App die ihr zustehenden Rechte ab. Der Nutzer kann dies nur komplett zulassen oder die Installation abbrechen. Eine Beschränkung auf weniger Rechte als angefordert sieht Facebook nicht vor.

Zu den Rechten gehören Dinge wie das Abfragen aller Nutzerdaten, der Zugriff auf die Profilinformationen und Fotos von Freunden oder die unvermeidbare Möglichkeit, neue Pinnwandeinträge zu erzeugen.

Befragt, getestet und betrogen

Um ein erhofftes Skandalvideo zu Gesicht zu bekommen, müssen neugierige Opfer oft erst an einer Umfrage teilnehmen. Oder auch mal an zwei oder drei. Manchmal genügt das Durchklicken der Umfrage nicht, sondern der Anwender muss seine persönlichen Daten eingeben: mindestens Name, Wohnort und E-Mail-Adresse. Gelegentlich werden auch Passwort und Kreditkarteninformationen gefordert. All diese Angaben lassen sich auf dem digitalen Schwarzmarkt zu Geld machen.

Aber auch die sinnlosen Tests bringen den Abzockern Geld ein, wenn sie am Ende der Fragerunde nach der Mobiltelefonnummer des Opfers fragen. An die soll das Ergebnis geschickt werden. Es kommt tatsächlich eine SMS an. Der Inhalt ist aber nutzlos. Im Gegensatz zu ihrem Preis. Denn in der Regel schließt der nichtsahnende Facebook-Nutzer ein SMS-Abo für einen zweckfreien Dienst ab. Kosten: 5 Euro pro Woche.

Die Wiedergabe wurde unterbrochen.