1648186

Clickjacking-Betrüger bei Facebook stoppen

03.05.2013 | 16:21 Uhr |

Vorsicht vor Facebook-Videos! Denn manche locken Sie in die Clickjacking-Falle. Und Sie bekommen davon nicht einmal etwas mit.

Immer öfter tauchen bei Facebook auf den ersten Blick harmlose Meldungen auf, nach der Art: „Manfred Müller gefällt ein Link in Videos Divertidos“. Darunter prangt ein ungewöhnliches Bild, das zum Klicken reizt. Die Bildunterschrift ist nur selten auf Deutsch, bisweilen nicht einmal auf Englisch. Dann enthält sie nur ein einziges allgemein verständliches Wort: „Video“. Und das verspricht durchaus nicht zu viel; hinter dem Facebook-Link verbirgt sich tatsächlich ein Video. Mit keinem Wort wird aber erwähnt, dass dort auch ein Javascript-Code lauert, der den Video-Gucker zum Clickjacking-Opfer macht.
 
Unter Clickjacking versteht man das ungewollte Anklicken eines Links oder Buttons, der unsichtbar über einem scheinbar harmlosen Link oder Button liegt. Im konkreten Beispiel hat Manfred Müller sich ein Video anschauen wollen – vermutlich ist er über einen seinen Facebook-Freunde, der ebenfalls auf das Clickjacking hereingefallen ist, auf das Video gestoßen. Der Link führt Manfred Müller nun zunächst von Facebook weg auf eine Webseite mit einem oder mehreren Videos. Noch ist nichts passiert. Sobald er aber auf den Play-Button des Videos drückt, löst er ein „Gefällt mir“ aus, bevor das Video startet. So sorgt er ungewollt für die weitere Verbreitung, weil seine Facebook-Freunde auf das Video aufmerksam werden.

Umständlich, aber wirkungsvoll: Ausloggen vor Video-Gucken

Die Clickjacking-Videos sind nicht leicht von normalen Videos zu unterscheiden. Wer auf Nummer sicher gehen will, kopiert den Link mit der rechten Maustaste in die Zwischenablage, loggt sich aus Facebook aus und schaut sich erst dann das Video an. Alternativ bleibt er eingeloggt, schaut sich das Clickjacking-Video aber in einem anderen Browser an.

Einfach mal auf Youtube nachgucken

Eine weitere Möglichkeit, die erstaunlich oft funktioniert: Suchen Sie den Video-Titel auf Youtube und schauen Sie dort gefahrlos das Video. Vielfach scheinen die Clickjacking-Betrüger ihre Videos von Youtube zu klauen und machen sich nicht einmal die Mühe den Titel zu ändern.

Ohne Javascript kein Clickjacking bei Facebook

Wer Javascript deaktiviert, kann kein Clickjacking-Opfer werden. In Firefox geht das so: „Firefox, Einstellungen, Einstellungen, Inhalt“ und dort den Haken der Checkbox „JavaScript aktivieren“ entfernen. Chrome-Surfer erreichen die Einstellung unter dem Link chrome://chrome/settings/content. Dort dürfen sie auch Ausnahmen regeln. Die Videos Divertidos aus unserem Beispiel blockieren Sie beispielsweise, indem Sie „funfrases.com“ (das ist der Hostname des Anbieters) in die Textbox eingeben und das Verhalten auf „Blockieren“ stellen.
 
Problem bei der Ausnahme-Regelung: Die Clickjacking-Betreiber können auf andere Adressen umziehen, wenn sie zu oft blockiert werden. Dann ist Ihre Ausnahme-Regelung veraltet. Für diesen Fall empfiehlt sich das Addon NoScript für Firefox . Es blockiert standardmäßig Clickjacking-Links. Jedoch blockiert es anfangs auch harmlose Skripte und bedarf etwas Arbeit in den Addon-Optionen. Wer Javascript blockiert, muss mit Darstellungsproblemen auf vielen Webseiten rechnen.

Anti-Clickjacking für Faule

Wem der ganze Aufwand zu groß ist, der sollte zumindest von Zeit zu Zeit einen Blick auf seine eigene Facebook-Chronik werfen und Clickjacking-Einträge manuell entfernen. So sorgen Sie zumindest dafür, dass die Videos weniger stark weiterverbreitet werden. Am besten markieren Sie den Clickjacking-Eintrag bei Facebook als Spam. Das geht über das Kontextmenü, das oben rechts eingeblendet wird, sobald Sie mit der Maus über den Eintrag fahren.

0 Kommentare zu diesem Artikel
1648186