Facebook „Likejacking”-Scam per Twitter

Ein Tweet, den ihr derzeit – meist als Antwort auf eine eurer Nachrichten – erhaltet, lautet: „Wir suchen nach Twitter-Mitgliedern, die unser brandneues Produkt auf twitgiveaway,com ausprobieren wollen”.

Ihr lest richtig: „twitgiveaway,com”. Statt eines Punktes integriert diese URL tatsächlich ein Komma. Das liegt daran, dass die Betrüger versuchen, die URL zu verfremden, damit sie bzw. die von ihnen betriebenen Domains nicht gesperrt werden – und in diesem Fall würde ein ganz einfacher Filter auch wirklich keine Domain darin erkennen.

twitt-ipadpromo

 

Wenn man auf das Benutzerprofil klickt, erscheint der Name „iPad Promo”.

twitt-ipadpromo-block

Nach einer Überprüfung der von dem Account ausgehenden Tweets stellt sich jedoch heraus, dass es bei allen Links inhaltlich um das Gleiche geht. Dieser Account versucht, so viele Besucher wie möglich auf die Webseite zu locken.

twitts-ipadpromo-profile

Beachtet bitte, dass die Posts verschiedene Versionen der Domain aufweisen, was beweist, dass die Betrüger unterschiedliche Verfremdungsmethoden verwenden.

Soweit nichts Ungewöhnliches… nur eine weitere Version, um Besucher auf eine Webseite zu locken.

Doch wenn ein Benutzer erstmal auf der Webseite gelandet ist, muss er zuerst eine aus drei einfachen Fragen beantworten:

- ob er/sie männlich oder weiblich ist

- wie viele Stunden er/sie mit der Nutzung sozialer Medien verbringt

- ob er/sie von zu Hause oder vom Arbeitsplatz aus auf die Seite zugreift

Am Ende der Umfrage erfährt man, was es zu gewinnen gibt: ein iPhone 5 oder ein iPad 3.

twitgiveaway

Damit der Benutzer auf die Buttons klickt, verwenden die Urheber dieses Scams ein ganz übliches Verfahren, indem sie die Dringlichkeit der Sache betonen und auf die wenigen verbleibenden Preise aufmerksam machen (jeweils 1 und 2).

Die „Überraschung” erwartet euch nach dem Anklicken der Links.

Hinter den Buttons verbirgt sich ein rechnerferner JavaScript-Code. Dieser leitet den Benutzer wiederum auf eine andere Webseite, die ihn dann zur Beantwortung einer weiteren Umfrage auffordert, wenn er Anspruch auf den Gewinn eines iPads (kein Wort mehr von einem iPhone) haben möchte:

twitgiveaway-fb.JPG

Nach allen Bemühungen stellt sich dieser Schwindel letztendlich als ein klassischer „Like-Jacking”-Scam heraus.

Aufgrund der seitenübergreifenden Scriptingreferenz (haltet diese nicht fälschlicherweise für eine „Cross Site Request Forgery”/CSRF; seitenübergreifende Aufruf-Manipulation) besteht allerdings die Möglichkeit, dass das Script sein Verhalten ändert und so ziemlich alles zu tun vermag, was dem Angreifer gerade in den Sinn kommt.

Zu guter Letzt kann man eigentlich nur wenig dagegen unternehmen, außer:

- den Twitter-Benutzer als Spammer melden

- die in eurem Namen erstellten Posts löschen, falls ihr die Umfrage fortgesetzt habt

- die App, die die Umfrage auslöste, mit „Gefällt mir nicht mehr” zu markieren

- Und zu guter Letzt: ein für alle Mal vergessen, dass ihr ein iPad oder iPhone gewinnen könntet. Denkt immer daran: Im Internet gibt es nichts, was tatsächlich gratis wäre!

 

 

Sorin Mustaca

IT Security Expert