Facebook-Nutzer erhalten Einladung zu Spam-Event

Originalartikel von Paul Pajares (Fraud Analyst)

Schon seit einiger Zeit berichten wir über Bedrohungen, die auf Facebook-Nutzer abzielen. Die meisten dieser Angriffe führen dazu, dass die Anwender unwissentlich Spam-Links in ihren Netzwerken verbreiten. Wir haben verschiedene Social-Engineering-Techniken im Einsatz gesehen, wie z. B. Stalker-Tracker-Tools, Promi-News und sogar Material zur aktuellen Tragödie in Japan.

In der Regel bestehen diese Bedrohungen aus Links zusammen mit einem entsprechenden Einladungstext, der auf der Pinnwand des betroffenen Anwenders veröffentlicht wird. Andere Anwender, die dazu verführt werden, auf den besagten Link zu klicken, führen unwissentlich ein Script aus, das wiederum genau diesen Spam-Inhalt verbreitet.

Vor Kurzem haben wir jedoch eine andere Version dieser Masche beobachtet, und zwar kam hier eine häufig genutzte Funktion in Facebook – Events zum Einsatz.

Anstatt den Spam-Link auf der Pinnwand von Anwendern zu platzieren, wo er leicht in den News-Feeds untergehen kann, nutzen die Cyber-Kriminellen jetzt die Events-Funktion, um die Aufmerksamkeit ihrer Zielgruppe ganz auf sich zu ziehen.

Bei dieser Masche erstellen die Spammer einen Event, der für viele Anwender verlockend klingt. Beispielsweise haben wir in einem Post folgenden Event gesehen: So finden Sie heraus, wer sich gerade Ihr Profil ansieht.

Im Mehr Infos-Feld im Post beschreibt der Spammer, was die eingeladenen Benutzer tun müssen, um den im Post versprochenen Service „anzuzeigen“ oder „zu nutzen“ – in diesem Fall eben die Möglichkeit herauszufinden, wer ihr Profil angesehen hat. Ganz offensichtlich besteht ein Großteil der Anweisungen aus Werbung für den Event. Der letzte Schritt ist hierbei ein Klick auf einen bestimmten abgekürzten Link.

Natürlich verbreiten schlussendlich die Benutzer, die zum Befolgen der Anweisungen verführt werden, den Spam-Event und füllen die Kassen der Spammer. Beim Besuch der Seite, auf die der Link verweist, wird auch ein Skript ausgeführt, durch das eben dieser Link auf der Pinnwand der betroffenen Anwender veröffentlicht wird.

Die Masche scheint für die Spammer recht gut zu funktionieren, denn wir haben Spam-Events gesehen, zu denen Tausende von Anwendern als Teilnehmer angemeldet sind. Wir haben auch beobachtet, dass ähnliche Spam-Event-Posts von den Urhebern regelmäßig aktualisiert werden. Dabei ändern sie in der Regel nur die jeweiligen Links, um so einer Sperrung zu entgehen.

Aus diesem Grund warnen wir die Anwender davor, ähnlich geartete Einladungen anzunehmen. Wir halten ständig nach solchem Spam Ausschau und sperren entsprechende URLs mithilfe unserer Web-Reputation-Technologie.