Keine Panik Web

Safer Facebook: Schütz dich vor vermeintlich scharfen Ludern

Nahezu jede Woche tauchen derzeit auf Facebook komische Links in Profilen auf. Da lockt ein Link mit dem „Most hilarous Video ever“ oder aktuell gefällt einigen Freunden die „:|:| 101 Hottest Women in the World 😀 :|:|“. Die Betreiber des Social Networks haben zwar relativ schnell reagiert und die Links sowie die meisten Seiten offline genommen, dennoch können solche Attacken jederzeit wieder vorkommen.

Dahinter steckt in jedem Fall kein absichtlich verteilter Link sondern eine erfolgreiche Attacke auf das jeweilige Facebook-Profil. Facebook ist für Cyberkriminelle ein lohnendes Ziel geworden. Nutzer mögen zwar vorsichtig sein, wenn sie Links von unbekannten erhalten, aber wenn ein Kontakt den diesen Eintrag gut findet, dann kann er ja so schlecht nicht sein. Wer auf die jeweiligen Links klickt, versorgt die Cybergangster in den meisten Fällen mit den eigenen Zugangsdaten – das eigene Facebook-Konto wird der Reihe der Spambots eingereiht und verteilt künftig selbst Links zu infizierten Websites.

Da es mir leider selbst noch an einer richtigen „Dirty Machine“ mangelt, mit der ich solche Sites besuchen (und absichtlich eine Infektion riskieren) kann, bau ich derweil das Video der Websense Security Labs ein. Das ist zwar nicht die aktuelle „Hottest Women“-Attacke, aber der  nicht minder nervige und verbreitete „Most Hilarous“-Angriff:

Holy Facebook-Wurm, Batman. Wie schütze ich mich dagegen?

Gute Frage. Zunächst einmal sollte auf dem Rechner ein aktueller Virenschutz installiert sein, der auch Browser-basierte Attacken erkennen und abblocken kann (das sind meist die größeren/teureren Versionen, genannt etwa Internet Security). Dann sollte man natürlich ein starkes Facebook-Passwort haben und es regelmäßig wechseln (nunja, wenigstens stark sollte es sein). Facebook selbst bietet außerdem eine clevere Funktion, mit der man erkennen kann, ob das eigene Konto gehackt wurde.

Im Bereich „Konto – Kontoeinstellungen“ gibt es den Punkt Kontosicherheit. Wenn ihr den aktiviert, muss sich jedes Gerät, das sich an eurem Konto anmeldet, mit einem Namen ausweisen. So sieht man relativ schnell, wenn sich ein Gerät anmeldet, das nicht zu euch gehört, oder dessen Namen ihr nicht eingetippt habt. Beachtet aber, dass sich auch diverse Smartphone-Clients oder Instant Messenger (bei mir „Trillian“) dort anmelden können, keine Panik also, wenn ihr etwas Neues seht.

Eine sehr gute Methode das eigene Profil zu schützen ist Defensio. Dabei handelt es sich um einen Inhaltsscanner, der als App auf dem eigenen Facebook-Profil installiert wird. Die Anwendung erkennt dann, wenn schädlicher Code oder „unerwünschter Content (meist Schimpfwörter)“ gepostet werden und kann diese abblocken. Ich habe Defensio beim TecChannel genauer vorgestellt.

Zuletzt noch die wichtigste Schutzmaßnahme: Erst denken, dann klicken. Wenn euch was seltsam vorkommt, nicht erst hinklicken, vielleicht dem jeweiligen Nutzer erst einmal eine Nachricht schicken, was er denn da postet und ob das schon von ihm ist.

Oder ihr informiert euch. Immer gute Anlaufstellen sind das Blog von Websense oder der Blog von Graham Cluley von Sophos.

Update: Es müssen übrigens nicht die „101 Women“ sein – scheinbar gibt es eine beliebige Zahl, ich hab auch schon die „96 hottest women in the world“ gesehen.

Update 2: Der Kollege Sternomat erklärt bei Zeitjung genauer, wie das Clickjacking eigentlich abläuft.

Über den Autor

Moritz Jaeger

Mo steht für Moritz Jaeger. Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

Kommentar schreiben

Hier klicken um zu kommentieren

Werbung: Bestseller Elektronik

Letzte Aktualisierung am 31.05.2018 / Affiliate Links / Bilder von der Amazon Product Advertising API

Archive