Zwei weitere Phishing-Anwendungen bei Facebook im Zusammenhang mit gefälschter Fucabook-Seite

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

UPDATE 4: 20. August Facebook hat die sechs unten aufgeführten Phishing-Anwendungen entfernt. Leider sind im Lauf des
heutigen Tages fünf weitere Anwendungen mit den Namen „Friends“, „Friends Gifts“, „Matching“, „Poki“ und „Your P
hotos
“ (selber Name der Batch-Datei, aber andere Batch-Anwendung) aufgetaucht. Somit wurden bisher insgesamt 11 Phishing-Anwendungen entdeckt.
Die neuen Phishing-Anwendungen haben immer noch dasselbe Format, verwenden aber andere Anwendungssymbole, versenden etwas glaubhaftere Nachrichtentexte
an Ihre Freunde und können nun auch gefälschte Nachrichten an den Profilinhaber versenden. Dies soll das Opfer vermutlich dazu zu bringen, weitere
Anwendungen zu installieren und damit die Erfolgsquote der Betrüger zu maximieren.

Facebook-Seite mit Nachrichten

UPDATE 3: 19. August Phishing-Anwendung Nummer 6 ist gerade aufgetaucht und zeigt sich, nicht gerade überraschend, unter
dem Namen „Inbox (1)“.

UPDATE 2: 19. August: Phishing-Anwendungen Nummer 4 und 5 wurden eben gesichtet. Sie werden mit Hilfe von gefälschtem
Spam verbreitet, der zuvor von anderen Phishing-Anwendungen versendet wurde. Die Anwendungen „Birthday Invitations“ und „Inbox (2)“ sollten
Sie erst gar nicht installieren oder aber von Ihrem Computer entfernen und zukünftig sperren. Auch sie verhalten sich genauso wie die anderen Anwendungen.

UPDATE 19. August: Jetzt haben wir „drei weitere Phishing-Anwendungen“. Mit Hilfe der Phishing-Anwendung „Stream“ (siehe unten)
wurden heute erstmals Nachrichten versendet; wir haben es also mit einer weiteren neuen Phishing-Anwendung zu tun.

Unter Verwendung eines bereits infizierten Kontos habe ich heute die Anwendungsseite der bösartigen Anwendung „Posts“ aufgerufen. Diese
Anwendung sendete sofort Nachrichten an meine Freunde, die einen Link zur Anwendung „Stream“ enthielten, über die ich bereits in diesem
Blog geschrieben habe. Als ich jedoch die Anwendungsseite von „Stream“ aufrief, sendete auch sie neue Nachrichten, der Link in der Nachricht
wurde zu einem externen Link (zu Facebook). Hinter diesem Link verbirgt sich wiederum ein Umleitungsskript, das mich an eine weitere, bösartige
Anwendung mit dem Namen „Your Photos“ verwies.

Your Photos“ unterscheidet sich nicht von den Anwendungen „Stream“ und „Photos“ und versendet gefälschte
Nachrichten, die auf daselbe Skripts wie oben erwähnt verweisen.

Ich informiere die Betreiber von Facebook regelmäßig über diese Entwicklungen. Diese arbeiten mit Hochdruck daran, die Sache in Ordnung zu bringen.

————————————————————–

Originalbeiträge:

Ich habe mich weiter mit diesen Phishing-Anwendungen bei Facebook beschäftigt, über die ich gestern gebloggt habe, da mir überhaupt nicht klar war, wie die Anwendung „sex sex sex and more sex!!!“ diese Nachrichten, die auf die bösartigen Website verweisen, generiert.

Meine Nachforschungen brachten zwei weitere Facebook-Anwendungen zutage. Diesmal ist es ziemlich eindeutig, dass sie extra für bösartige Zwecke entwickelt wurden und direkt mit der gefälschten Fucabook-Seite in Verbindung gebracht werden können.

Wenn ein Opfer seine Anmeldedaten auf der gefälschten Fucabook-Seite eingibt, wird es nach der ersten Eingabe seines Kennworts dazu aufgefordert, das Kennwort erneut einzugeben, um „die Funktionen von Name der bösartigen Anwendung in vollem Umfang nutzen zu können“ (gestern hieß die bösartige Anwendung Posts, heute heißt sie Stream).

smalladdstream

Sobald diese Anwendung installiert wurde, nutzt sie das Bild eines Ihrer Freunde (denn die Anwendungen können auf dieselben Informationen zugreifen wie Sie selbst), um Ihnen mitzuteilen, dass Ihnen jemand großzügigerweise ein nichtssagendes Bild gesendet hat. Sie haben zwar verschiedene Möglichkeiten, auf das fragwürdige Geschenk zu reagieren, allerdings gibt es keine Schaltfläche, mit der Sie die Aktion bestätigen können. Stream und Posts sehen genau gleich aus.

smallstream

Danach versendet die Anwendung – natürlich ohne Ihre vorherige Zustimmung – Spam-Mails an alle Ihre Kontakte.

Alle an Freunde gesendeten Nachrichten haben ihren Ursprung auf der Fucabook-Phishing-Site. Darüber hinaus ist erwähnenswert, dass beide bösartigen Anwendungen dieselben graphischen Symbole zur Identifizierung verwenden. Das Symbol selbst kommt von der sehr bekannten und völlig vertrauenswürdigen Facebook-Pinnwand, die die meisten Benutzer regelmäßig in ihren Nachrichten sehen. Dadurch wird der Angriff – an der Oberfläche – noch glaubwürdiger.

angdave

Wie die Anwendung “sex sex sex and more sex!!!” eingebunden wurde, ist immer noch unklar. Wenn aber die Anwendung selbst nicht bösartig ist, dann würde ich auf Anwendungs-Hijacking/-Hacking tippen, mit dem der hier beschriebene Phishing-Prozess ins Rollen gebracht wird.

Überprüfen Sie, wie ich Ihnen bereits gestern geraten habe, also immer den Link in der Adressleiste Ihres Browsers, bevor Sie vertrauliche Daten eingeben. Überprüfen Sie außerdem das eigentliche Ziel des Links, bevor Sie darauf klicken, indem Sie mit dem Mauszeiger darüber fahren. Klicken Sie nur dann auf den Link, wenn er Ihnen vertrauenswürdig erscheint. Außerdem sollten Sie, wenn Sie Facebook-Nutzer sind, Ihre Datenschutzeinstellungen prüfen und nicht mehr benötigte Anwendungen löschen.

Trend Micro hat die Betreiber von Facebook über diese Ergebnisse informiert.

Ein Gedanke zu „Zwei weitere Phishing-Anwendungen bei Facebook im Zusammenhang mit gefälschter Fucabook-Seite

  1. Heidi Wanner

    Gestern wurde ich per Chat von einer Freundin aufgefordert, ein Video anzuschauen. Leider habe ich das gemacht, kam auf die Seite „Facebook.com“, dann leere Seite. Heute hat mir Facebook mein Konto gesperrt und es ist extrem mühsam, Facebook zu informieren. Vielleicht können Sie mir helfen, ich würde schon gerne wieder hinein.
    Vielen Dank
    Heidi Wanner

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*