Sex-Applikation als Phishing-Köder auf Facebook

Über die Anwendung “sex sex sex and more sex!!!” mit immerhin 287.000 Fans werden ganz normal aussehende Facebook-Benachrichtigungen an User verschickt, berichtet Rik Ferguson, Senior Security Advisor bei Trend Micro, im Unternehmensblog. “Die Tatsache, dass es sich um eine Facebook-Benachrichtigung handelt, wie sie User zu sehen und anzuklicken gewohnt sind, wird dem eine dramatisch höhere Erfolgsrate bescheren als Phishing mit herkömmlichen Nachrichten”, warnt der Experte im Gespräch mit pressetext. Wer den Link in der Benachrichtigung anklickt, gelangt auf eine Seite, die den gewohnten Facebook-Look präsentiert, um Accountdaten zu stehlen.

“Normalerweise nutzen Phishing-Attacken zum Diebstahl von Zugangsdaten gefälschte E-Mails, Tweets oder Nachrichten im Mail-System sozialer Netzwerke”, sagt Ferguson. Der aktuelle Angriff ist insofern interessant, da er eine Benachrichtigung durch eine Applikation im Facebook-System nutzt – etwas, das bei dem sozialen Netzwerk völlig normal ist. “Entweder wurde die Anwendung also speziell dafür entwickelt oder aber sie wurde kompromittiert und missbraucht”, meint der Experte. Sofern die Applikation speziell für den Angriff gebaut wurde, wäre sie deutlich ausgereifter als schon im Februar 2008 gefundene Schad-Anwendungen auf Facebook, so Ferguson. “Statt praktisch nur ein Machbarkeitsbeweis zu sein, arbeitet sie langfristig”, erklärt er. Denn zuerst hätten User bekommen, was sie wollen – eine Art Sex-Quiz. Erst, nachdem ein nenneswertes Gefolge aufgebaut war, wurde mit dem Versand der Phishing-Nachrichten begonnen. Allerdings kann noch nicht ausgeschlossen werden, dass die Applikation eigentlich harmlos ist und von einem Hacker gekapert wurde.

Über die laut Ferguson “dubios klingende und etwas schlampig aussehende” Anwendung werden Benachrichtigungen über angebliche Kommentare zu Postings verschickt – ein scheinbar normaler Vorgang. Die Links führen allerdings auf eine bösartige Webseite, die auf den angeblich in Armenien wohnhaften Arsen Tumanyan registriert ist und deren IP-Adresse zu Amazons virtuellem Server-Angebot Elastic Compute Cloud gehört, so Ferguson. Die Seite lädt einige JavaScripts, ehe sie mit dem HTML-Tag meta refresh blitzschnell die normale Facebook-Seite im Browser anzeigt und nach den Zugangsdaten fragt. Daher rät der Sicherheitsexperte, unbedingt die im Browser angezeigte URL zu prüfen und vor dem Anklicken eines Links erst den Mauszeiger darüber zu halten, um die Linkadresse angezeigt zu bekommen. “Wenn diese verdächtig aussieht: nicht klicken”, mahnt er.

Inzwischen hat Ferguson zwei weitere Applikationen auf Facebook entdeckt, die mit Benachrichtigungen arbeiten, die zur gleichen Phishing-Domain führen wie das Sex-Quiz. Sofern es sich nicht um gekaperte, sondern von vornherein mit böser Absicht gestaltete Anwendungen handelt, spricht das für einen “Fehler in der Sicherheitsprüfprozedur auf Facebook”, so Ferguson. Er betont aber, dass das Problem der ausreichenden Sicherheitsprüfung keineswegs auf Facebook beschränkt ist. Er verweist etwa auf “Sexy Space”, eine vermeintlich legitime und sogar von der Symbian Foundation signierte Anwendung für Symbian, die im Juli beobachtet wurde. Dabei handelt es sich aber um eine neue Variante des Botnetz-Handywurms “Sexy View”, der bereits im Februar beobachtet wurde. “Daran sieht man: Selbst, wenn ein Unternehmen einen Sicherheitsprüfprozess nutzt, muss dieser zuverlässig genug sein, den Code und die Funktionalität jeder Applikation genau zu prüfen. Das ist keine leichte Aufgabe für eine so erfolgreiche Plattform wie Facebook oder Symbian”, meint Ferguson abschließend zu pressetext.