Facebook ist beliebt, Facebook macht Spaß, Facebook birgt aber auch Gefahren. Neben den Risiken, denen man sich aussetzt, wenn man den falschen Leuten zu viel von sich preisgibt, läuft man auch Gefahr, auf Lügner und Betrüger hereinzufallen. Das soziale Netzwerk ist wegen seiner Popularität und der Arglosigkeit vieler Nutzer Anziehungspunkt von Kriminellen.
Der Clickjacking-Trick
Darum geht’s: Sie sehen in Ihrer „Neuigkeiten“-Liste ein Video mit anzüglichem, schockierendem oder sehr kuriosem Vorschaubild und Tite l. Da das Video (scheinbar) von einem Freund empfohlen wurde, klicken Sie arglos drauf. Es öffnet sich ein neues Fenster mit einem Videoplayer und viel Werbung drum herum. Sie starten die Wiedergabe und bekommen entweder das angepriesene oder ein völlig anderes Video zu sehen. Danach schließen Sie das Fenster und vergessen das Video. Möglicherweise wundern Sie sich noch über den komischen Geschmack Ihres Freundes. Einige Tage später schauen Sie durch Zufall in Ihr eigenes Facebook-Profil und stellen fest, dass Sie jetzt auch selbst das Video Ihrem gesamten Freundeskreis empfehlen. Und das, obwohl Sie gar nicht auf „Gefällt mir“ oder „Empfehlen“ geklickt haben. Hier lauert die Gefahr: Beim Klick auf das Video in der Neuigkeitenliste öffnet sich nicht etwa Youtube oder ein anderes seriöses Portal, sondern eine Seite des Betrügers, die so ähnlich aussieht. Über die Seite hat der Betrüger einen transparenten Iframe gelegt – also eine andere Webseite, die unsichtbar über der sichtbaren „schwebt“ und nichts weiter ist als ein riesiger „Empfehlen“-Button. Oder aber der Iframe ist so winzig, dass Sie ihn nicht erkennen können – per Javascript wird er immer unter dem Mauszeiger gehalten. Sie denken, Sie klicken nur das Video an, lösen aber unbemerkt auch einen „Like“-Klick aus. Das ist möglich, weil Facebook die Option bietet, den „Empfehlen“-Button mit Hilfe eines Javascripts in Webseiten zu integrieren. Diese Funktion nutzen die Betrüger aus. Wenn Sie parallel in einem anderen Browsertab oder -fenster in Facebook eingeloggt sind, stellt das soziale Netzwerk keinerlei Nachfrage, ob Sie den Link tatsächlich „teilen“ wollen. Der Link zu dem Video landet inklusive Vorschaubild als öffentlicher Eintrag auf Ihrer Facebook-Chronik und wird so auch allen Ihren Freunden als Ihr „Status-Update“ oder als Ihre Empfehlung angezeigt. Dieses Beispiel wird „Likejacking“ („Gefällt-mir“-Entführung) genannt. Während es dem Betrüger bei dieser Clickjacking-Variante „nur“ darum geht, möglichst viele Besucher auf seine Seite zu locken und an den darauf befindlichen Werbeeinblendungen zu verdienen, gibt es auch weitaus gefährlichere Klickfallen. So werden über diese Methode auch Drive-by-Downloads verteilt. Das sind Schädlinge, die durch die Ausnutzung von Sicherheitslücken in Betriebssystem, Browsern und/oder Plug-ins (zum Beispiel Adobe Reader oder Flash) automatisch beim Besuch einer präparierten Webseite installiert werden.
Diese ähnlichen Tricks gibt es: Clickjacking ist nur eines von vielen Verfahren, mit dem Betrüger versuchen, Facebook-Fans für ihre Zwecke zu missbrauchen. Mitunter versuchen sie es auch mit weit weniger subtilen Methoden. Sie veröffentlichen zum Beispiel Facebook-Apps ohne echten Nutzen, dafür aber mit plakativen Titeln wie „Neue Facebook-Smileys“. Danach bringen sie Status-Updates in Umlauf, die die App anpreisen. Wer auf den mitgeschickten Link klickt, landet aber erstmal in einer innerhalb von Facebook eingebetteten Seite der Betrüger, die den Nutzer dazu auffordern, zwei „Gefällt mir“-Buttons anzuklicken, bevor man zur App kommt. Und es gibt tatsächlich zahlreiche Anwender, die das auch tun. Was die Betrüger davon haben? Sie erhalten Geld von den Betreibern der Facebook-Seiten, die durch den Trick zusätzliche Fans bekommen. Und das oftmals, ohne dass die Betreiber von den dubiosen Machenschaften wissen. Sie haben zuvor einen der zahlreichen Facebook-Fan-Vermittler beauftragt, die sich im Web tummeln. Nicht alle davon arbeiten seriös, sondern schachern den Seiten teilweise auch über solche Methoden Fans zu. Für den ungewollt neuen Fan geht es nach den zwei „Gefällt-mir“-Klicks übrigens noch weiter. Er erhält im Anschluss tatsächlich eine App. Allerdings eine, die in seinem Namen nach Belieben Nachrichten auf seine Chronik setzten darf. Wann welche Nachrichten erscheinen, kann der Anbieter der App steuern. Zwar fragt Facebook den Anwender vor der Installation der App, ob er ihr Schreibzugriff auf seine Chronik gewähren will. Da er aber davon ausgeht, dass er eine App bekommt, mit der er zusätzliche Smileys in seine Nachrichten einfügen kann, wird er ihr dieses Recht zugestehen. In Acht nehmen sollte man sich auch vor Nachrichten, in denen Freunde zur Teilnahme an einem Facebook-Multiplayer-Spiel einladen. Diese Einladung könnte von einer fingierten App automatisch verschickt worden sein, auf die Ihre Bekannten hereingefallen sind. Wenn Sie der Einladung folgen, landen Sie zwar auf einer echten Facebook-App-Seite und können die Anwendung auch installieren. Wenn Sie sie daraufhin aber starten wollen, lösen Sie dadurch selbst eine Einladungswelle an alle Ihre Freunde aus.
Das sind die Gegenmaßnahmen: Facebook zu meiden oder nur noch mit permanentem Misstrauen im Hinterkopf zu nutzen, wären überzogene Reaktionen. Klar ist aber auch, dass man eine gewisse Skepsis walten lassen sollte, bevor man auf Links klickt, die abstrus wirken. Sollten Sie trotzdem einmal einen Klick zu viel riskiert haben, kontrollieren Sie sofort im Anschluss Ihre Facebook-Chronik. Sollte im Abschnitt „Aktivitäten“ ein unerwünschter Eintrag hinzugekommen sein, löschen Sie ihn über das kleine blaue „x“, das rechts oben beim Eintrag erscheint, wenn Sie den Mauszeiger auf ihn bewegen, und melden ihn als Spam. Falls der unerwünschte Link nicht als „Aktivität“, sondern als Status-Update in Ihrer Chronik erscheint, finden Sie dort ein Bleistift-Symbol, über das Sie den Eintrag löschen und melden können. Um sich vor Clickjacking-Attacken zu schützen, stehen kostenlose Facebook-Apps von Sicherheits-Software-Herstellern zur Verfügung. Empfehlenswert sind etwa Norton Safe Web und Bitdefender Safego . Bei Norton Safe Web müssen Sie nach dem Setup bei gedrückter Maustaste den roten Button nach links schieben, um automatisch geschützt zu sein. Bei Bitdefender Safego ist zu beachten, dass die App nicht nur verdächtige Links ausblendet, die Ihre Freunde unwissentlich veröffentlichen, sondern diesen dann auch in Ihrem Namen einen Warnhinweis in die Chronik schreibt. Wünschen Sie das nicht, entziehen Sie der App das Recht „In deinem Namen posten“. Die Option dafür finden Sie in den Facebook-Kontoeinstellungen unter „Anwendungen > Bitdefender Safego > Bearbeiten“.
Der Free-2-Play-Trick
Darum geht’s: Im „App-Zentrum“ von Facebook finden sich hunderte kostenlose Spiele, die im Web-Browser laufen. Einige davon finanzieren sich durch Werbung, bei anderen handelt es sich um so genannte „Free2Play“-Titel. Free-2-Play bedeutet im Klartext, dass Sie grundsätzlich erstmal nichts zahlen müssen. Sie haben aber die Möglichkeit, virtuelle Güter gegen echtes Geld zu kaufen. So etwa Kleidung für Ihren Charakter, ein Eigenheim, Einrichtungsgegenstände, Waffen, Raumschiffe, besondere Kampffertigkeiten, Tiere und Pflanzen für Ihren Bauernhof und, und, und. Hier lauert die Gefahr: Grundsätzlich ist gegen solche „In-Game-Käufe“ nichts einzuwenden. Manche Free-2-Play-Titel sind aber gezielt darauf ausgelegt, die Spieler süchtig zu machen. Etwa, indem man nur viel langsamer vorankommt, wenn man kein Geld auf den Tisch legt. Oder wenn man ab einem bestimmten Level von anderen Spielern ständig ausgeknockt wird, weil einem die passende Waffe oder die nötigen Kampffertigkeiten fehlen. Kein Zufall ist es, dass die virtuellen Güter nicht in Euro und Cent bepreist sind, sondern in einer Spielwährung, in die man sein echtes Geld zunächst eintauscht. Dadurch verliert man ziemlich schnell das Gefühl für die tatsächlichen Ausgaben. Das sind die Gegenmaßnahmen: Es ist schwierig, einen seriösen Free-2-Play-Titel von einem zu unterscheiden, der von vornherein darauf ausgelegt ist, möglichst vielen Spielern möglichst viel Geld aus der Tasche zu ziehen. Behalten Sie also stets Ihre realen Finanzen im Blick, und klären Sie Ihre Kinder auf, falls diese Free-2-Play-Spiele spielen. Der Notlagen-Trick
Darum geht’s: Sie erhalten in Facebook eine Freundschaftsanfrage von einem Bekannten, der eigentlich schon in Ihrer Freundesliste vorhanden ist. Er schreibt Ihnen als Begründung, dass er das Passwort zu seinem bisherigen Account vergessen und deswegen einen neuen angelegt hat. Kaum haben Sie die Anfrage bestätigt, erhalten Sie eine Mail von ihm, in der er angibt, sich gerade in einer Notsituation zu befinden. Zum Beispiel: Er wäre gerade im Ausland, bräuchte dringend Bargeld und fragt Sie, ob Sie ihm ein paar hundert Euro per Western-Union-Transfer zukommen lassen könnten. Oder aber er bittet Sie, im Handel eine oder mehrere Prepaid-Karten der Dienste Paysafecard oder Ukash zu kaufen und ihm die Kartennummern zu mailen, damit er etwas online bestellen kann. Hier lauert die Gefahr: Der Hilferuf stammt nicht von Ihrem Bekannten, sondern von einem Betrüger. Er ist gezielt oder durch Zufall auf Ihr Profil gestoßen und hat sich aus Ihrer Freundesliste, die standardmäßig für jeden eingeloggten Facebook-Benutzer sichtbar ist, eine Person herausgepickt und mit dessen Namen und Foto ein neues Facebook-Konto angelegt. Über dieses hat er Sie dann kontaktiert. Das sind die Gegenmaßnahmen: Ändern Sie die Sichtbarkeit der Freundesliste, so dass diese entweder nur für Ihre (echten) Facebook-Freunde oder nur für Sie persönlich zu sehen ist. Um zu der Einstellung zu gelangen, klicken Sie ganz oben auf Ihren eigenen Namen und dann innerhalb Ihrer Chronik auf die Kastenüberschrift „Freunde“. Sie gelangen nun zu Ihrer kompletten Freundesliste und wählen oben „Bearbeiten“, um die Sichtbarkeit für andere festzulegen.