Ich dachte eigentlich, immun gegen so billige Spielchen zu sein. Aus dem „Ich weiß schon, wo ich hinklicke“-Grund hatte ich auch lange Zeit keinen Virenscanner drauf und fuhr eigentlich immer gut. Gestern hat michs jedoch erwischt – auf Facebook. Also jetzt nicht so richtig erwischt, aber ich habe ein Video geliked, ohne es zu wollen. Erbost ging ich der Sache auf den Grund und war ziemlich schockiert über diese miese Praktik. Aber der Reihe nach.
Es handelt sich „http://ksmp3.de/Guten-Morgen-Schatz-geht-daneben/„. Bitte erstmal nix klicken. Facebook packt den Like-Button sinnvollerweise in ein IFrame, weil man so mit Javascript keinen Klick auslösen kann (Cross Domain Policy). Also muss der User selbst „Like“ klicken. Das was da erstmal aussieht, wie ein ordinäres Youtube-Video hat auf den zweiten Blick nicht mehr viel damit zu tun, da es sich eigentlich nur um Bilder handelt:
Dasselbe beim eigentlichen Video-Content:
Okay, schonmal ziemlich gut gemacht. Der Benutzer klickt nun also in freudiger Erwartung auf das Video. Jetzt greift folgendes Javascript:
$(document).ready(function() { $('#player').mousemove(function(e) { $('#adra').css('left', e.pageX-1+'px'); $('#adra').css('top', e.pageY-1+'px'); }); $('#player1').hover(function(){ $(this).css('background', 'url("videoContent2.jpg")'); },function(){ $(this).css('background', 'url("videoContent1.jpg")'); }); $('#player2').hover(function(){ $(this).css('background', 'url("videoNav2.jpg")'); },function(){ $(this).css('background', 'url("videoNav1.jpg")'); }); }); done = function() { $('#player').css('display', 'none'); $('#realPlayer').css('display', 'block'); }
Aha. Das Element #adra folgt also der Maus. Beim Hover werden die Pseudo-Video-Bilder ausgetauscht, wie man es von Youtube gewohnt ist. Und beim Klick verschwindet letztendlich der Player und gibt das frei, was darunter liegt – Das freundlicherweise sogar #realPlayer genannte Element, mit dem wirklichen Video.
Im #adra-Div liegt der Facebook-Like-Iframe mit folgendem CSS:
element.style { position: absolute; width: 2px; height: 2px; }
Wenn wir jetzt mal die Dimension des #adra-Divs und des darin befindlichen Iframes etwas anpassen, kommen wir zu folgendem Ergebnis:
Tja, und nach einem Klick geht dann das eigentliche Youtube-Video los. Vom Prinzip her eigentlich nur Clickjacking in Perfektion – in einem verhältnismäßig ungefährlichen Kontext. Da ich aber hier selbst mal auf die Nase gefallen bin, hats mich doch ziemlich sensibilisiert. Und man überlege sich mal, was mit dieser miesen Taktik noch alles möglich wäre, ohne das der Benutzer etwas mitbekommt: Mit Vollzugriff ausgestattete Facebook-Apps erlauben etwa. Für Datencrawler ein Paradies.
Ich habe das erstmal bei Facebook gemeldet. Los werdet ihr den Mist wieder, indem ihr auf eurer Pinnwand das „X“ beim Beitrag klickt und Beitrag + Like entfernen wählt. Ich scheine wohl auch nicht der Einzige zu sein, der darauf reingefallen ist. Aktuell verbreitet sich das Video wie die Seuche.
Ganz gut durchschaut :)
hab dich lieb :-*
Ich hab dich auch lieb!
*kussi* für den guten Artikel !
:* *schmatz*
Danke für die Info, ist wirlkich ’ne Frechheit. Aber „Viren“ sind auch nur so schlau wie die Dummheit der User.
Der Satz ‚“Viren“ sind auch nur so schlau wie die Dummheit der User‘ ist meiner Meinung nach völlig unangebracht in diesem Zusammenhang. Ganz offensichtlich fällt auf die Masche auch jemand rein, der reichlich Erfahrung sein Eigen nennt. Natürlich, wenn man jede Seite mit den korrekten Tools (und einer Unmenge an Zeit) untersucht, kann man das umgehen. Das ist aber nicht klug sondern paranoid und vor allem schlicht unpraktikabel. Ich fürchte wir müssen akzeptieren, dass auch „kluge“ User nicht gegen alles gefeit sind. Javascript zu deaktivieren halte ich auch für übertrieben, aber das wäre die einzig halbwegs diskutierbare Möglichkeit, viele Gefahren auszuschalten.
Da würd mich ja mal interessieren, ob manch Gutti verwirrte auch mit sowas arbeiten!?
Diesen „Trick“ kann man gut nutzen um Meinungsbilder in einem sozialen Netzwerk zu verfälschen.
btw. „anonym“ oder „immun“?
i opt for the second ;)
habe das Video dummerweise auch gesehen. Jetzt wird es ständig an meiner Pinnwand angezeigt obwwohl ich es schon min. 20 mal entfernt habe. habe es so gar als Spam gekennzeichnet doch es erscheint immer wieder. Wäre lieb wenn jemand eine lösung für mein Problem hätte.
Lg
Und der Spaß geht direkt weiter -> http://3.ly/evPp
Das weitet sich jetzt so schnell aus, das Facebook das komplette Konzept der Like-Buttons überarbeitet, ich sags euch
Ich hab mir das jetzt mal angesehen. Bei mir legt es sich vierfach aufs Maul:
– Noscript
– Request Policy
– Easylist Privacy
und ich hab keinen Facebook Account mehr. :-)
https://addons.mozilla.org/de/firefox/addon/noscript/
das firefox-addon „NO SCRIPT“ bietet zumindest schon mal einen gewissen schutz.
Ich persönlich mag noscript nicht, weil man sich damit im Web einiger Funktionen selbst beraubt. Und wir „Webleute“ wollen ja schließlich, dass unsere Besucher das bestmögliche Erlebnis haben.
Du sach ma, wat is das eigentlich für ein Deutsch?
[davblog: webdev and stuff] Neues Kommentar für: …
Soll ich dem Plugin-Übersetzer mal diesen Link schicken ;)?
Ich finde no-script prima und es hat mich genau vor erwähntem Clickjacking gewarnt. Der Vorteil ist, dass no-script nicht einfach stillschweigend etwas für den User nicht durchschaubares tut, sondern immer, wenn es aktiv wird (was auf so ziemlich jeder HP der Fall sein dürfte) dies direkt auf der Seite oder zumindest in der Leiste am unteren Ende des Browser signalisiert und man dann selbst entscheiden kann, ob dieses oder jenes Script für die momentanten Zwecke denn auch benötigt wird.
sorry, aber einen webbrowser mit no-script zu betreiben ist ungefähr so, als würde man beim Auto den Motor ausbauen um Benzin zu sparen.
Keine Frage gibt es böse Jungs, die allerlei Schabernack treiben, dennoch überwiegen die Vorteile von Scripts. So Videos gibt’s auch heute noch, mal komplexer, mal weniger komplex. Weniger komplex reicht aber für die meisten aus, weil klickt eher jeder auf Like, wenn er das vid sehen will :-)
vielen dank für die ausführlichen infos, habe diesen blog mal meinen kollegen/innen auf fb gepostet…
Schau Dir doch auch mal die Pro-Guttenberg Seiten bei Facebook an. Da funktioniert das ganze sogar ohne Klick, wenn ich mich nicht irre. Jedenfalls hatte ich plötzlich einen „Like“ auf die Seite obwohl ich nicht geklickt habe.
Danke für die ausführliche Analyse.
Hatte vorhin einen ähnlichen Effekt, aber mit http://gameibot.net/abc/
Danke für die gute Recherche und die Info!
Viele Grüße
Markus
@stephan: Genau das haben ich und noch ein paar andere uns heute nach Lektüre dieses Blogs gefragt: ob das bei der Gutti-Seite auch passiert…
@david: Kannst du als Entwickler was dazu sagen? Wäre es möglich auf diese Weise bei FB auch Fans zu fangen?
Wie meinst du „Fans fangen“? Ich denke doch mal, dass das „Liken“ eines Videos sich in nichts vom Liken einer Person / Band unterscheidet. Insofern wäre diese Masche also auch darauf zu übertragen.
Danke für die Hintergründe! Ich habe heute bei einigen Freunden auch diverse Links an der Pinnwand gesehen, von denen sie selbst nichts wussten. Mich hat vermutlich ein Eintrag in der AdBlock-Blockierliste („||facebook.com/*$third-party“) davor bewahrt, selbst davon betroffen zu sein.
Naja damit blockst du dann aber ALLE Like-Buttons ;)
Das ist richtig, aber nicht zu vermeiden ;)
@Daniel Da Tobias H. hinter den (einigen?) Pro Guttenberg Seiten steckt, halte ich das für mehr als wahrscheinlich. Selbst dann, wenn ich das oben beschriebene Erlebnis nicht gehabt hätte. Dieser Sarazzin Fan Tobias H. ist für mich eine der übelsten Personen im Netz.
Hab dazu mal ne kleine Infografik gemacht, weil das Clickjacking in letzter Zeit massiv zugenommen hat: http://twitpic.com/46qt6x/full
Superteil! Kann ich das auch in meinem Blog verwenden?
Klar.. immer zu :)
Achja.. kurze Referenz waere ned schlecht, TwitterAcc z.B.
Klar. Kein Ding. Ich komm nur gerade nicht zum bloggen :-(
Die benutzen echt Javascript dafür? Eigentlich wären nur 2-3 Zeilen Css nötig.
Danke für diese Aufklärung. Ich finde es schlimm, welche Machenschaften den User reinlegen wollen. Hoffen wir, das es bald einen Riegel vorgeschoben bekommt. Spam mal anders!
Sehr guter Artikel! Daumen hoch! Erlauben Sie die Verlinkung Ihres Artikels auf einer externen Security Seite?
Viele Grüße
Frank
Klaro, nur zu.
Ob das auch mit einem Flatr-Button funktionier ?
Habe bisher noch nichts mit Flattr gemacht. Ich denke mal es wird allein schon daran scheitern, dass man – im Gegensatz zu Facebook – nicht ständig bei Flattr eingeloggt ist.
Danke für die Erleuchtung! Aber bitte nicht einfach „Like entfernen“ wählen sondern „Als Spam melden“.
Der @phillippn hat ein paar echt interessante Sachen aus dem Hut geholt. Einmal ein Script, das bei Klick automatisch einen „LIKE“-Generiert. Bitte schön: http://pn-it.com/fb/#
Dann meinte er, dass diese Anwendung automatisch Pinnwandeinträge generiert: http://apps.facebook.com/hellenismkpmga/ Habs noch nicht getestet, kann das wer verifizieren?
Hier hat er die Anwendung decodiert: http://wepawet.cs.ucsb.edu/view.php?hash=a4c43e449f98eab65732533c2d8a5185&type=js
Kann da wer was mit anfangen?
Ich habe diese komischen Videos auch die ganze Zeit in meinem Facebookstream und wollte gestern mal nachschauen, um was es sich da eigentlich handelt. Genau das, was du beschrieben hast dachte ich mir auch schon.
Also Link kopiert, aus Facebook ausgeloggt und dann den Link mal angeschaut. Wollte auf Play klicken, aber die Seite wollte erst einen Facebook Login. Also doch kein Video. ;-)
Gut, dass du das hier so ausführlich beschreibst.
Nicht ganz so perfekt war dieser Link, den ich letzte Woche bei Facebook gepostet fand, angeblich aus meiner Freundesliste.
Angeklickt und dann nicht weitergemacht, weil man vor dem Video den Link schon teilen und liken sollte. Hab es dann umgangen und es wurde noch ’ne Nummer besser… als nächstes sollte vor dem Video ein Spiel gemacht werden. Mit der Eingabe der Handynummer hätte man ein Spiel abboniert für 2,99 € für je 5 Tage-Abrechnungsperiode.
Nach dem ich den Link entsprechend mit einer Warnung kommentiert hatte, verschwand er innerhalb von Sekunden von meinem Bildschirm.
http://www.onlinenews-24.com/dsds/dsds-fake.html
Selbst mit „Beitrag + Like entfernen“ wird mn es nicht komplett los.
Versteckt sich zusätzlich noch bei „Aktivitäten und Interessen – Sonstiges“
Kann gelöscht werden: Profil – Info – Aktivitäten und Interessen – Andere Seiten anzeigen (Bearbeiten)
Da taucht es bei mir nicht auf.
Gestern gab es bei Facebook viele Einträge auf Pinnwänden mit Spamlinks.
Hier meine Analyse dazu: http://s.pn-it.com/VBL
Zum Einsatz kam ein Javascript, das automatisiert (also ohne Interaktion) auf allen (oder fast allen) Profilen von Freunden einen Link gepostet hat. Noch um einiges gemeiner als die erschlichenen Likes…
Schön. Und auch wenn das eine fiese Mache ist, fasziniert es mich doch, mit welcher kriminellen Phantasie Plattformen wie Facebook aufs Korn genommen werden!
Eh schon ein alter Hut, aber wenn’s aufs Fratzenbuch kommt, ist’s jedem eine Analyse wert :)
Schaut doch einmal auf folgende Seiten(-typen): Wares-/Torrent-/Serial-/Keysites, P*rn*seiten, Streamseiten (zB via kino.to). Dort ist das alles schon lange gang und gebe. Da hat sich bloß einer von den echten Profis eine Scheibe abgeschnitten.
Hey, super recherchiert, und danke für die ausführlichen Infos, allerdings frage ich mich gerade, ob du es Trittbrettfahrern gerade ermöglichst, das nachzubauen, da du hier den Java-Code veröffentlichst?
Wer wirklich sowas nachbauen möchte, ist auch selbst fähig in den Quellcode einer solchen Seite zu schauen.
Guten Morgen!
Bin auch gerade so einem Spam-Link aufgesessen.
http://lilwayne.ch/Idiot/
Hi, das hab ich schon vor sehr langer Zeit mal erwähnt http://www.elexpress.de/internet/neue-clickjacking-sicherheitslucke-ermoglicht-ungewollte-facebook-like-button-aktivitaten/ und auch Facebook über diese immer schlimmer werdenden Praktiken informiert. Seitens Facebook aber keinerlei Rückmeldung erhalten.
Danke für die ausführliche Aufklärung. ;)
ok, duesbezüglich habe ich noch eine andere Frage.
die sache ist mir auch schon zweimal passiert, -> rechts oben auf X und dann wie gesagt Beitrag+Like entfernen. erledigt.
ABER
hat man nun ein paar Freundeslisten angelegt und will diese bearbeiten, tauchen die entsprechenden „Links“ oder Namen der Links dort immer noch auf.
wie werd ich das wieder los???
wenn ich „alle Freunde“ klicke tauchen die Namen der Links dort komischerweise nicht auf, eben nur wenn ich eine Liste bearbeiten will und dann unter „mehrere hinzufügen“ suche/scrolle
besten Dank schon mal für die Hilfe!
beste grüße whatever
Habe auch ein Tutorial über dieses Thema, nur hier liked man nur durch den Besuch :)
Beziehst du dich dadrauf? Der Code scheint aber auch darauf zu basieren, dass du selbst irgendwo auf der Seite klicken musst.
Lang lebe Firefox mit NoScript-Plugin. :)
Es gibt noch schlimmere Methoden. Hier (http://www.fanslave.net/ref.php?ref=110248&lan=de) kann man sich Likes kaufen oder tauschen. Ob es einen Mehrwert hat bezweifel ich :D
mit NoScript ist man vor solchen tricks geschützt ;-)
Oder man könnte den Titel des Videos auch einfach auf YouTube eingeben, so sieht man es ohne dieses Problem ;)
Das war uns auch noch nicht bekannt. Interessanter Beitrag.