Schlagwort-Archive: Friends

Neuauflage des MileyCyrus-JustinBieber-Facebook-Spams

Originalartikel von Paul Pajares (Fraud Analyst)

Vor kurzem haben wir über ein Betrugsmanöver berichtet, das auf Facebook-Benutzer abzielt, indem es Anwender unfreiwillig zu Spammern macht.
In letzter Zeit nun gibt es immer mehr neue Domains zu einem weiteren Betrugsversuch: Auch dieser zielt auf Facebook-Benutzer ab, und zwar mittels Social-Engineering-Techniken, die schon früher einmal verwendet wurden.

Die besagten Domains scheinen mit bestimmten Facebook-Beiträgen zusammenzuhängen, wie z. B. „This Guy Took A Picture Of His Face Every Day For 8 Years“.

Die erstellten Domains ähneln sich alle, da sie Wörter enthalten wie: daddy, busted, guy, face, pic, miley und bieber.

Wenn ein Benutzer dann in einem Facebook-Beitrag auf eine dieser Domains klickt, wird er oder sie auf eine YouTube-ähnliche Webseite weitergeleitet. Diese Technik wird in der Regel von der berühmt-berüchtigten KOOBFACE-Clique verwendet. Die Seite enthält jedoch nichts weiter als ein Bild, das einer Seite der bekannten Video-Website ähnelt.

Wenn der Benutzer irgendwo auf der Seite klickt, wird eine Meldung angezeigt, die ihn zur Teilnahme an einer Umfrage auffordert, um sein Alter zu bestätigen.

Was aber tatsächlich passiert, ist, dass ein bösartiges Skript, das als PHP_FBJACK.A entdeckt wird, auf das Facebook-Konto des Benutzers zugreift und einen Link zur selben bösartigen Seite veröffentlicht, zusammen mit einer ähnlichen Mitteilung wie oben aufgeführt.

Facebook war 2010 das gefährlichste Kontaktnetzwerk und ist es noch heute, wenn man einmal die zahlreichen Angriffe betrachtet, denen die Benutzer täglich ausgesetzt sind. Daher ist es für Facebook-Benutzer wichtig, beim Navigieren durch das Netzwerk – und insbesondere beim Klicken auf gemeinsam genutzte Links, auch wenn sie von vertrauenswürdigen Kontakten stammen – ganz besonders vorsichtig zu sein.

Das Trend Micro™ Smart Protection Network™ schützt Benutzer von Trend Micro Produkten bereits vor diesem Angriff, da betroffene URLs und Scripts gesperrt und entdeckt werden.

Facebook mit aktuellen und möglichen künftigen Bedrohungen

Originalartikel von Christopher Talampas (Fraud Analyst bei Trend Micro) und Rik Ferguson (Senior Security Advisor bei Trend Micro)

Cyberkriminelle haben wieder Facebook als Angriffsziel gewählt. Diesmal geht der Angriff über die Chat-Funktion, wobei die Nutzer eine Nachricht von einem angeblichen Freund erhalten, in die ein Link eingebettet ist, wie etwa der im Bild:

Dieser Link führte auf eine Site, wo der neugierige User seine Facebook-Zugangsdaten eingeben soll, um etwa das avisierte Video sehen zu können. Natürlich stecken dahinter Phisher, die diese Daten sammeln.

Diese Art der Attacken über Facebook-Anwendungen sind nicht ganz neu, doch die Verbreitung über die Chat-Funktion bringt eine neue Dimension in diese Bedrohung. Die Nachrichten erwecken den Anschein, von einem Freund zu kommen, und könnten somit mehr Nutzer dazu bewegen, die eingebetteten infizierten Links anzuklicken. Die dem Angriff zugrunde liegende Phishing-Seite wird von Trend Micro Smart Protection Network blockiert.

Der Social Networking-Dienst könnte künftig auch von weitere Arten von Angriffen bedroht sein. Der neue Service Facebook Places (Facebook Orte) erlaubt es Nutzern des iPhones oder anderer Touchscreen GPS-fähiger Geräte, sich einzuloggen (Check-in) und der Welt zu zeigen, wo sie sich gerade befinden. Der Dienst ist derzeit in den USA und in Großbritannien verfügbar und wird in absehbarer Zeit in Deutschland aktiv sein.

Die Nutzer können sich überall per Hand anmelden. Doch was auf den ersten Blick großartig klingt, nämlich Freunde und Bekannte zu finden, die sich am selben Ort befinden, kann ernste Auswirkungen auf die Vertraulichkeit der Daten haben. Der Dienst kann zwar über die Privacy-Einstellungen eingeschränkt werden. Auch muss die Anmeldung jedes Mal per Hand erfolgen, sodass nur diejenigen dem Nutzer von Ort zu Ort folgen können, denen er es gestattet.

Facebook Privacy-Einstellungen

Die Privacy-Einstellungen sind so gesetzt, dass zwar „nur Freunde“ den Ort, an dem sich der Nutzer befindet, sehen können, doch Facebook erlaubt es jedem, der gerade  in der Nähe ist, zu sehen, wo sich der Nutzer gerade aufhält. Das klingt nicht sehr vertrauenswürdig, denn somit kommt auch jemand mit weniger ehrenhaften Absichten an diese Information heran.

Um diese Einstellungen zu ändern, muss der Nutzer auf seinem Facebook-Bildschirm auf „Account“ klicken, „Privacy Settings“ wählen und dann den kleinen „Customize Settings“-Link. Hier lässt sich die Einstellung „People here now“ deaktivieren, aufgrund derer Freunde, die in der Nähe sind, den Nutzer lokalisieren können.

Auch ist es leider möglich, ohne Einwilligung oder sogar gegen den eigenen Willen „eingecheckt“ zu werden. Freunde können einen Nutzer überall einchecken, unabhängig von seinem tatsächlichen aktuellen Standort. Sobald ein Nutzer einen Tag im Check-in eines anderen hat, erhält er eine Benachrichtigung darüber und hat die Möglichkeit, den Tag zu entfernen. Doch Facebook hält die Information, auch ohne Zustimmung des Nutzers fest, sogar dann, wenn er selbst Places nicht nutzt. Außerdem können die Freunde einer Person, die ein Nutzer mit einem Tag versehen hat, den Standort des Users ebenfalls sehen.

Facebook Wall Post

Diese Systeme stellen ohne Zweifel ein großes Risiko für die individuelle Vertraulichkeit dar. Will Facebook auch weiterhin die Check-ins von Dritten erlauben, so muss der Dienst sicherstellen, dass diese Informationen nicht öffentlich werden, es sei denn, alle Beteiligten sind damit einverstanden. Auch sollte der Netzwerkdienst gewährleisten, dass alle Privacy-Einstellungen vollständig respektiert werden, und die Auswirkungen der Aktionen klar sind. Passiert dies nicht, so kann jeder an dem Standort Interessierte – Kollegen, Freunde, Ex-Partner oder gar Einbrecher – der Freund eines Freundes werden und Facebook erledigt die gesamte Spionagearbeit dafür.

Verdächtiger JavaScript-Code in einer Facebook-Anwendung

Originalartikel von Robert McArdle (Senior Malware Researcher bei Trend Micro)

Die Sicherheitsforscher von TrendLabs haben eine verdächtige Facebook-Seite gefunden, die JavaScript-Code nutzt, um an alle Freunde eines Nutzers Spam zu verschicken. Die Seite “10 lies girls ALWAYS tell guys! funny!” (10 Lügen, die Mädchen IMMER Jungs sagen! Lustig) ist ein klassisches Beispiel dafür, wie Facebook-Seiten JavaScript nutzen können, um Nutzern, die neugierig genug sind, den „Click here“-Button zu betätigen, mit Spam zu versorgen.

Um dies jedoch herauszufinden, müssen die mitgelieferten Anleitungen befolgt werden. Der Nutzer soll Ctrl + C drücken, um JavaScript zu kopieren sowie mit Alt + D die Adressenleiste zu wählen. Die danach folgenden Schritte vom Prompt aus führen JavaScript aus.



Der Code, den Nutzer in die Adressenleiste einfügen sollen, sieht folgendermaßen aus:

Der obere Teil zeigt den Originalcode, den der Nutzer eingeben soll, während der untere Teil den entschlüsselten Code darstellt. Der Originalcode ist entstellt, wobei hier zwei bekannte öffentlich zugängliche JavaScript Obfuscator verwendet wurden — Dean Edwards Packer und Free JavaScript Obfuscator.

Beim schrittweisen Durchgehen des Codes zeigt sich, dass die angegebenen Seitenelemente absichtlich versteckt bleiben. Auch werden die Inhalte eines separat angegebenen Seitenelements mit dem eines anderen Seitenelements überschrieben. Der Code erzeugt auch einen simulierten Mausklick auf das „suggest“-Element der Seite. Zum Ende hin setzt der Code Fünf-Sekunden-Timer, die auf in der Suggestion-Box gefundene Items klicken. Damit werden alle Facebook-Kontakte des Nutzers ausgewählt und mit einer Anwendungsempfehlung versehen. Dann wird ein Mausklick auf das „like me“-Seitenelement simuliert. Dieser Code stellt keine sofortige Bedrohung dar, außer dass er die Facebook-Walls mit Spam zumüllt. Doch kann auch nichts Cyberkriminelle davon abhalten, diese Techniken zum Verbreiten von Malware zu nutzen.

Ryan Flores, Senior Advanced Threats Researcher der TrendLabs, findet die Tatsache bemerkenswert, dass diese Methode der Interaktion des Nutzers bedarf. Facebook filtert aktiv Spam-URLs, sodass Spammer immer ausgeklügeltere Methoden verwenden, um Spam-Sites zu verbreiten, ohne gleich tatsächliche Spam-URLs zu erzeugen. Flores hält diese Methode nicht für neu. Als Beispiel einer solch nicht anzuklickenden Spam-URL nennt er JPG-Bilder. Diese weisen den User na, die im Bild angezeigte URL in die Adresszeile des Browsers einzugeben.

Glücklicherweise wird diese Gefahr gerade aufgrund der benötigten Nutzer-Interaktion vermeidbar. User sollten immer auf der Hut vor gefälschten Anwendungen in Facebook sein und es vermeiden, dubiosen Anleitungen zu folgen.

Ein neuer Twitter-Wurm stiehlt Login-Daten

Originalartikel von Robert McArdle (Senior Malware Researcher bei Trend Micro)

Ein neuer Twitter-Wurm macht die Runde. Erhält ein Nutzer eine direkte Nachricht von einem „Freund“, welche folgende Frage enthält,

“This you????”

so ist die Message wahrscheinlich bösartig. Der Link http://twitter.login.{BLOCKED}home.org/login/ führt zu einer Unterseite der Domäne. Danach wird der Nutzer aufgefordert, sich an seinem Twitter-Konto anzumelden. Die Abbildungen zeigen, wie unterschiedlich die beiden Login-Seiten sind:



Meldet sich ein Nutzer an, so werden seine Login-Daten gestohlen und alle seine Follower erhalten eine direkte Nachricht mit dem Link auf dieselbe Site – und so kann sich der Wurmverbreiten. Zweifelsohne werden die Cyberkriminellen irgendwann die gestohlenen Login-Daten dazu verwenden, um weitere bösartige Inhalte aus der riesigen Zahl kompromittierter Twitter-Konten zu verschicken.

Seien Sie also vorsichtig! Weitere Tipps und Tricks für Social Networking bietet Trend Micros „Security Guide to Social Networks”. Das Smart Protection Network von Trend Micro schützt die Anwender vor dieser Art des Angriffs, indem die Content-Sicherheitsinfrastruktur den Zugriff auf bösartige Domänen und andere damit in Zusammenhang stehende Sites blockiert.

Es ist nicht alles (Facebook)-Gold, was glänzt

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Es gibt keinen Facebook Gold Account, doch die Internet-Kriminellen möchten Nutzern dies dennoch weismachen.


Gefälschte Facebook-Seite

Gold Membership Trolling gibt es seit 2007. Das Ziel war, Nutzern des 4chan Imageboard einen Streich zu spielen. Gefälschte Bilder wurden in dieses Imageboard gestellt, die angeblich nur „Gold“-Mitglieder sehen können. Mit diesem Trick sollten Nutzer glauben, dass sie für ein Upgrade des Kontos zahlen müssen.

4chan Gold Account von whatport80.com

Die Idee des Internet-Betrugs mithilfe von Gold Accounts wurde von vielen Kriminellen aufgegriffen, um damit ans schnelle Geld zu kommen. Sie setzten Facebook-Seiten auf mit Namen wie “GET YOUR UPGRADE WHILE THEIR FREE!!” und versprechen unter anderem verbesserte Funktionalität und werbefreie Seiten. Doch ein näherer Blick auf einige Merkmale der Facebook-Seite sollte die Alarmglocken schrillen lassen.

Upgrade Seite

Gefälschte Facebook Gold Account Seite

Einer der ersten Hinweise (zumindest für Muttersprachler) auf einen Betrug ist der Schreibfehler im Titel: THEIR sollte eigentlich „they’re“ heißen. Analysiert man die Liste der „Kommentare“ auf der rechten Seite, so stellt man fest, dass es sich nicht um echte Kommentare handelt, sondern um Image-Dateien, die auch mit der betrügerischen Webseite verlinkt sind.

Doch was wollen die Betrüger? Folgt der Nutzer allen Anweisungen, so lädt er als erstes alle seine Freunde dazu ein, sich dieses „coole“ Angebot anzusehen. Ist der Nutzer vertrauensselig genug, den Button anzuklicken, so wird er darüber informiert, dass der Zugriff auf die Seite mit dem Account Upgrade es erfordert, eine „schnelle kostenlose Umfrage“ auszufüllen – und hier wird das Geld verdient.

Ich habe eine solche Umfrage getestet: Sie führte zu einem Quiz „Werewolf vs Vampire“, der mir sagen sollte, zu welcher der beiden Kategorien ich gehöre. Nach der Beantwortung der zehn Fragen wurde ich dazu aufgefordert, meine Mobilnummer anzugeben, um so die Ergebnisse zu erhalten. Wer dies tut, erklärt sich damit einverstanden, eine Aufnahmegebühr von 9 Pfund zu zahlen, wobei dann wöchentlich weitere 9 Pfund fällig werden, bis man die Mitgliedschaft über eine SMS kündigt.

Natürlich stehen die Geschäftsbedingungen auf der Seite. Doch die Betrüger erhalten sicherlich eine Provision für jede Aktivierung, die zur Quiz-Seite führt. Derzeit gibt es mehr als 50 verschiedene Versionen dieser bestimmten Facebook-Seite und mehr als eine Million Fans!

Der Top-Hinweis, um diese Art des Betrugs zu vermeiden, bevor ein Nutzer irgendetwas an seine Freunde und Kontakte weiterleitet, lautet: Überprüfen! Geben Sie nie die eigene Mobilnummer an, um Ergebnisse einer Online-Quiz oder Umfrage zu erhalten. Werden die Resultate nicht auf einer Webseite angezeigt, so sind sie es nicht wert.

Schließlich sollten Nutzer keinen Geschichten über Facebook-Funktionalität glauben, die kostenpflichtig hinzugefügt wurde – es sei denn, Facebook selbst informiert darüber.