Diese Plage läuft zurzeit über Twitter ab, natürlich mit viel mehr Accounts als nur diesen einen:
Wie man sieht, ist die Spam nicht besonders einfallsreich. Die Opfer dieser Spammasche werden wohl aus der allgemeinen Timeline herausgepickt, mit einer @
-Anfrage angesprochen und bekommen alle das gleiche Textbröckchen vorgeworfen, natürlich auch mit dem immer wieder gleichen Link, den ich hier unkenntlich gemacht habe, um niemanden zu gefährlichen Experimenten zu verführen. Die gewählte Form ist dafür gemacht, Menschen abzuholen, die auch auf Facebook aktiv sind.
Der Link geht zu einem bei blogspot (punkt) com
liegenden Blog, das mit einem Riesenberg CSS „liebevoll“ die Erscheinung einer Facebook-Timeline nachempfindet und ganz nebenbei die typischen Steuerelemente der dort gehosteten Blogs versteckt hat, damit auch nicht jedem mäßig erfahrenen Netznutzer auf dem ersten Blick auffällt, was das für ein Schwindel ist. Das Ergebnis ist durchaus gelungen und sieht so aus (zum Vergrößern auf das folgende Bild klicken):
Dass jemand, der so gezielt einen falschen Eindruck erweckt, nichts Gutes im Schilde führt, brauche ich hoffentlich nicht weiter zu erwähnen.
Der Quelltext ist sehr verbastelt. Ich kann ihn nicht in fünf Minuten durchanalysieren. Er enthält eine Menge Techniken, die ich nach einem ersten Überfliegen nur halb verstehe, und meine Motivation zum gründlichen Verstehen ist gerade nicht so hoch, dass ich mir alles anschauen mag.
Was ich mir allerdings angeschaut habe¹, ist zum Beispiel dieses scheinbare eingebettete YouTube-Video, und das ist etwas völlig anderes als ein gewöhnliches YouTube-Video. Es ist ein IFRAME
, der mit ein paar darin angeordneten Grafiken optisch wie ein YouTube-Player gestaltet wurde und in dessen Inneren eine in der Domain allinfree (punkt) net
gehostete Seite dargestellt wird – es ist also im Gegensatz zum erweckten Eindruck nicht ein normal eingebettetes, bei YouTube verfügbares Video.
Auf diesem so hinterhältig als YouTube getarnten Bereich wird ein kleiner JavaScript-Fetzen ausgeführt, der überprüft, welcher Browser gerade für die Ansicht verwendet wird. Wenn es sich dabei um Chrome oder Firefox handelt, fordert das Skript im angeblichen YouTube-Player dazu auf, eine Extension namens „YouTube Premium“ zu installieren, der Code für diese Extension wird allerdings ebenfalls aus der Domain allinfree (punkt) net
installiert, also von einer Seite, die unter der Kontrolle der Spammer steht.
Wenn auf solche Weise Code unter Vorspiegelung falscher Tatsachen zur angeblich erforderlichen Installation angeboten wird, sollte allein wegen der gewählten Methodik Alarmstufe Rot herrschen. Ich bin mir vollkommen sicher, dass es sich bei dieser angeblichen Extension um Schadsoftware handelt. Ich bin allerdings im Moment nicht gewillt, mir auch noch anzuschauen, welche unerwünschten „Funktionen“ diese Schadsoftware implementiert – es kann jede Aktion sein, die sich innerhalb eines Browsers ausführen lässt, vom Spammen über das Abgreifen von Passwörtern bis hin zum manipulierten Online-Banking. Natürlich kann eine solche Schadsoftware auch auf Facebook, Twitter und YouTube zugreifen und die angebliche Video-Seite dort im Namen des Opfers spammend weiterempfehlen, wenn man sich nicht abgemeldet hat und die Cookies noch im Browser gespeichert sind. Eine erwünschte Funktion wird es auf keinen Fall sein, und übrigens lässt sich YouTube und auch ein gewöhnliches, in andere Seiten eingebettetes YouTube-Video ganz hervorragend ohne diese angebliche Extension nutzen, wie jeder mit Leichtigkeit ausprobieren kann.
Für andere Browser gibt es eine Weiterleitung auf ein Dokument, das den Code zum Einbetten eines YouTube-Videos enthält, so dass Nutzern der Browser Konqueror, Internet Explorer, Opera, Galeon oder Safari gar nichts besonderes an dieser Schadsoftware-Schleuder der Spammer auffällt – außer vielleicht, dass das hier von Spammern missbrauchte Video ein bisschen… na ja… nicht so toll ist, wie es die gefälschten, im Facebook-Stil aufgelisteten Kommentare versprochen haben. Das finde jedenfalls ich… 😉
Der relativ hohe Aufwand und die beachtliche kriminelle Energie in dieser Masche lassen mich annehmen, dass bei jenen, die darauf reinfallen, ein relativ großer Schaden entstehen wird. Da die Nummer „frisch“ ist, ist auch davon auszugehen, dass die meisten Virenscanner die Schadsoftware noch nicht erkennen. Wer schon darauf hereingefallen ist, hat ein ernsthaftes Problem. Es ist erforderlich, etwas dagegen zu tun.
Wegen der sehr perfiden Vorgehensweise und der momentanen Massivität, mit der diese Masche auf Twitter (und vermutlich auch bei vergleichbaren Web-2.0-Sites) durchgezogen wird, kann ich nur eine deutliche Warnung aussprechen: Nicht auf jeden Link klicken, der einem mit einer „persönlichen“ Nachricht zugesteckt wird. Dies gilt in besonderer Weise, wenn der Link von einem bislang völlig Unbekannten kommt oder der begleitende Text dermaßen dümmlich um Aufmerksamkeit buhlt. Wenn dann ein Blick in die Twitter-Timeline dieses völlig Unbekannten zeigt, dass dauernd gleichlautende Links an alle möglichen Leute gesteckt werden, ist die Sache klar: Es handelt sich um einen Spammer, der gemeldet werden sollte, damit der Schaden für andere Menschen begrenzt wird. Das bisschen Vorsicht vor einem schnellen, unüberlegten Klick kann eine Menge späteren Ärger ersparen.
Wer glaubt oder nur befürchtet, dass er schon auf diese besondere Masche reingefallen ist, sollte unbedingt handeln. Alle Erweiterungen sollten im betroffenen Browser – in diesem Fall sind nur Firefox, Chrome und Chromium betroffen – sofort entfernt werden (die Schadsoftware kann unter völlig anderem Namen auftreten), das Verzeichnis mit den Extensions im Dateisystem gelöscht werden und dann können die wirklich benötigten Extensions neu installiert werden. Nicht einmal bei dieser etwas ruppigen Vorgehensweise kann ich zusichern, dass die Schadsoftware zuverlässig entfernt wurde (HTML 5 kennt viele Wege, Daten lokal zu speichern); ich kann auch nicht auszuschließen, dass ein weiterer, von mir beim schnellen Überfliegen nicht bemerkter Schadcode dieser Spammer noch einen anderen Schaden angerichtet hat. Wie ich oben bereits gesagt habe: Es ist ein ernstes Problem.
Dieses Problem wäre übrigens vermieden worden, wenn das Firefox-Plugin NoScript installiert und aktiviert gewesen wäre. Dieses verbietet die Ausführung von JavaScript in unbekannten Seiten und verlangt vor der Ausführung eine explizite Freischaltung. Doch selbst dieser Schutz ist wertlos, wenn man das Skripting leichtfertig aktiviert, weil man ein als lustig angepriesenes Video schauen will. Kein Plugin kann den Verstand ersetzen, und der Verstand sollte einem im Zeitalter einer mit hoher krimineller Energie und beachtlicher technischer Fertigkeit vorgehenden Internet-Mafia sagen, dass man gar nicht vorsichtig genug sein kann. Ein angeblich „lustiges Video“ aus einer derart obskuren und trüben Quelle sollte niemals zum Grund werden, die Vorsicht für etwas befriedigte Neugier zu opfern. Nur in einer solchen Haltung helfen Plugins als zusätzliche Unterstützung beim Streben nach einer sicheren Internetnutzung.
Beinahe jeder Hack eines privat genutzen Rechners lässt sich vermeiden – und das übrigens fast immer – wenn man die Spam als Spam erkennt (das erfordert manchmal etwas Nachdenken und Überprüfung, also Mühe) und niemals in einer Spam herumklickt (das erfordert nur einen gesunden Menschenverstand, ist also kaum der Rede wert).
¹Bevor mich jemand falsch versteht: So etwas schaut man sich nur auf einem besonders gesicherten System an. Ein installierter Virenscanner und eine laufende „personal firewall“ reichen nicht aus, um das System zu sichern. Wer nicht weiß, wie man sich ein besonders gesichertes System einrichtet, sollte niemals auf die Idee kommen, in einer offensichtlichen Spam herumzuklicken.