Reingefallen: Wie man sich auf Facebook „Likes“ erschleicht

Ich dachte eigentlich, immun gegen so billige Spielchen zu sein. Aus dem „Ich weiß schon, wo ich hinklicke“-Grund hatte ich auch lange Zeit keinen Virenscanner drauf und fuhr eigentlich immer gut. Gestern hat michs jedoch erwischt – auf Facebook. Also jetzt nicht so richtig erwischt, aber ich habe ein Video geliked, ohne es zu wollen. Erbost ging ich der Sache auf den Grund und war ziemlich schockiert über diese miese Praktik. Aber der Reihe nach.

Es handelt sich „http://ksmp3.de/Guten-Morgen-Schatz-geht-daneben/„. Bitte erstmal nix klicken. Facebook packt den Like-Button sinnvollerweise in ein IFrame, weil man so mit Javascript keinen Klick auslösen kann (Cross Domain Policy). Also muss der User selbst „Like“ klicken. Das was da erstmal aussieht, wie ein ordinäres Youtube-Video hat auf den zweiten Blick nicht mehr viel damit zu tun, da es sich eigentlich nur um Bilder handelt:

Die normale Play-Bar:

Und bei Hover:

Dasselbe beim eigentlichen Video-Content:

…und gehovert:

Okay, schonmal ziemlich gut gemacht. Der Benutzer klickt nun also in freudiger Erwartung auf das Video. Jetzt greift folgendes Javascript:

$(document).ready(function() 
{
	$('#player').mousemove(function(e) {
		$('#adra').css('left', e.pageX-1+'px');
		$('#adra').css('top', e.pageY-1+'px');
	});
	
	$('#player1').hover(function(){ $(this).css('background', 'url("videoContent2.jpg")');
					  },function(){ $(this).css('background', 'url("videoContent1.jpg")'); });
					  
	$('#player2').hover(function(){ $(this).css('background', 'url("videoNav2.jpg")');
					  },function(){ $(this).css('background', 'url("videoNav1.jpg")'); });						      
});	

done = function()
{
	$('#player').css('display', 'none');
	$('#realPlayer').css('display', 'block');
}

Aha. Das Element #adra folgt also der Maus. Beim Hover werden die Pseudo-Video-Bilder ausgetauscht, wie man es von Youtube gewohnt ist. Und beim Klick verschwindet letztendlich der Player und gibt das frei, was darunter liegt – Das freundlicherweise sogar #realPlayer genannte Element, mit dem wirklichen Video.

Im #adra-Div liegt der Facebook-Like-Iframe mit folgendem CSS:

element.style {
	position: absolute;
	width: 2px;
	height: 2px;
}

Wenn wir jetzt mal die Dimension des #adra-Divs und des darin befindlichen Iframes etwas anpassen, kommen wir zu folgendem Ergebnis:

Tja, und nach einem Klick geht dann das eigentliche Youtube-Video los. Vom Prinzip her eigentlich nur Clickjacking in Perfektion – in einem verhältnismäßig ungefährlichen Kontext. Da ich aber hier selbst mal auf die Nase gefallen bin, hats mich doch ziemlich sensibilisiert. Und man überlege sich mal, was mit dieser miesen Taktik noch alles möglich wäre, ohne das der Benutzer etwas mitbekommt: Mit Vollzugriff ausgestattete Facebook-Apps erlauben etwa. Für Datencrawler ein Paradies.

Ich habe das erstmal bei Facebook gemeldet. Los werdet ihr den Mist wieder, indem ihr auf eurer Pinnwand das „X“ beim Beitrag klickt und Beitrag + Like entfernen wählt. Ich scheine wohl auch nicht der Einzige zu sein, der darauf reingefallen ist. Aktuell verbreitet sich das Video wie die Seuche.

Weitere Posts:

Dieser Beitrag wurde unter Javascript, misc IT, Persönlich veröffentlicht. Setze ein Lesezeichen auf den Permalink.

82 Antworten auf Reingefallen: Wie man sich auf Facebook „Likes“ erschleicht

  1. Detlef Peter sagt:

    Ganz gut durchschaut :)

    hab dich lieb :-*

  2. Lars Gx sagt:

    Danke für die Info, ist wirlkich ’ne Frechheit. Aber „Viren“ sind auch nur so schlau wie die Dummheit der User.

    • Masse Massimo sagt:

      Der Satz ‚“Viren“ sind auch nur so schlau wie die Dummheit der User‘ ist meiner Meinung nach völlig unangebracht in diesem Zusammenhang. Ganz offensichtlich fällt auf die Masche auch jemand rein, der reichlich Erfahrung sein Eigen nennt. Natürlich, wenn man jede Seite mit den korrekten Tools (und einer Unmenge an Zeit) untersucht, kann man das umgehen. Das ist aber nicht klug sondern paranoid und vor allem schlicht unpraktikabel. Ich fürchte wir müssen akzeptieren, dass auch „kluge“ User nicht gegen alles gefeit sind. Javascript zu deaktivieren halte ich auch für übertrieben, aber das wäre die einzig halbwegs diskutierbare Möglichkeit, viele Gefahren auszuschalten.

  3. Oliver sagt:

    Da würd mich ja mal interessieren, ob manch Gutti verwirrte auch mit sowas arbeiten!?

  4. mabo sagt:

    Diesen „Trick“ kann man gut nutzen um Meinungsbilder in einem sozialen Netzwerk zu verfälschen.

    btw. „anonym“ oder „immun“?

  5. anonym sagt:

    habe das Video dummerweise auch gesehen. Jetzt wird es ständig an meiner Pinnwand angezeigt obwwohl ich es schon min. 20 mal entfernt habe. habe es so gar als Spam gekennzeichnet doch es erscheint immer wieder. Wäre lieb wenn jemand eine lösung für mein Problem hätte.
    Lg

  6. david sagt:

    Und der Spaß geht direkt weiter -> http://3.ly/evPp

    Das weitet sich jetzt so schnell aus, das Facebook das komplette Konzept der Like-Buttons überarbeitet, ich sags euch

  7. Oliver sagt:

    Ich hab mir das jetzt mal angesehen. Bei mir legt es sich vierfach aufs Maul:
    – Noscript
    – Request Policy
    – Easylist Privacy
    und ich hab keinen Facebook Account mehr. :-)

  8. surfer sagt:

    https://addons.mozilla.org/de/firefox/addon/noscript/

    das firefox-addon „NO SCRIPT“ bietet zumindest schon mal einen gewissen schutz.

    • david sagt:

      Ich persönlich mag noscript nicht, weil man sich damit im Web einiger Funktionen selbst beraubt. Und wir „Webleute“ wollen ja schließlich, dass unsere Besucher das bestmögliche Erlebnis haben.

      • Oliver sagt:

        Du sach ma, wat is das eigentlich für ein Deutsch?
        [davblog: webdev and stuff] Neues Kommentar für: …

      • chrhoppe sagt:

        Ich finde no-script prima und es hat mich genau vor erwähntem Clickjacking gewarnt. Der Vorteil ist, dass no-script nicht einfach stillschweigend etwas für den User nicht durchschaubares tut, sondern immer, wenn es aktiv wird (was auf so ziemlich jeder HP der Fall sein dürfte) dies direkt auf der Seite oder zumindest in der Leiste am unteren Ende des Browser signalisiert und man dann selbst entscheiden kann, ob dieses oder jenes Script für die momentanten Zwecke denn auch benötigt wird.

        • Peter sagt:

          sorry, aber einen webbrowser mit no-script zu betreiben ist ungefähr so, als würde man beim Auto den Motor ausbauen um Benzin zu sparen.

          Keine Frage gibt es böse Jungs, die allerlei Schabernack treiben, dennoch überwiegen die Vorteile von Scripts. So Videos gibt’s auch heute noch, mal komplexer, mal weniger komplex. Weniger komplex reicht aber für die meisten aus, weil klickt eher jeder auf Like, wenn er das vid sehen will :-)

  9. Pingback: | Social Media Blog

  10. Thomas Rosenberg sagt:

    vielen dank für die ausführlichen infos, habe diesen blog mal meinen kollegen/innen auf fb gepostet…

  11. Stephan Hradek sagt:

    Schau Dir doch auch mal die Pro-Guttenberg Seiten bei Facebook an. Da funktioniert das ganze sogar ohne Klick, wenn ich mich nicht irre. Jedenfalls hatte ich plötzlich einen „Like“ auf die Seite obwohl ich nicht geklickt habe.

  12. Thomas sagt:

    Danke für die ausführliche Analyse.
    Hatte vorhin einen ähnlichen Effekt, aber mit http://gameibot.net/abc/

  13. Markus sagt:

    Danke für die gute Recherche und die Info!

    Viele Grüße
    Markus

  14. Pingback: Facebook-Clickjacking: Automatische “Likes” / “Gefällt mir” und “Link-Sharing” – Ein Blog über die schöne Welt der Unterhaltungselektronik

  15. @stephan: Genau das haben ich und noch ein paar andere uns heute nach Lektüre dieses Blogs gefragt: ob das bei der Gutti-Seite auch passiert…

    @david: Kannst du als Entwickler was dazu sagen? Wäre es möglich auf diese Weise bei FB auch Fans zu fangen?

    • david sagt:

      Wie meinst du „Fans fangen“? Ich denke doch mal, dass das „Liken“ eines Videos sich in nichts vom Liken einer Person / Band unterscheidet. Insofern wäre diese Masche also auch darauf zu übertragen.

  16. Carsten sagt:

    Danke für die Hintergründe! Ich habe heute bei einigen Freunden auch diverse Links an der Pinnwand gesehen, von denen sie selbst nichts wussten. Mich hat vermutlich ein Eintrag in der AdBlock-Blockierliste („||facebook.com/*$third-party“) davor bewahrt, selbst davon betroffen zu sein.

  17. Pingback: Clickjacking fucks Facebook | Frank Bauer - 7dots - Internet Projekte - mobile things - W3C XHTML PHP MySQL - Bremen - Online-Shops

  18. Stephan Hradek sagt:

    @Daniel Da Tobias H. hinter den (einigen?) Pro Guttenberg Seiten steckt, halte ich das für mehr als wahrscheinlich. Selbst dann, wenn ich das oben beschriebene Erlebnis nicht gehabt hätte. Dieser Sarazzin Fan Tobias H. ist für mich eine der übelsten Personen im Netz.

  19. Pingback: Facebook Fans und Likes faken | PN-IT

  20. Pingback: Vorsicht: manipulierter Like-Button! [Update] « Marcel Pauly

  21. Mariusz sagt:

    Hab dazu mal ne kleine Infografik gemacht, weil das Clickjacking in letzter Zeit massiv zugenommen hat: http://twitpic.com/46qt6x/full

  22. Martin Rack sagt:

    Die benutzen echt Javascript dafür? Eigentlich wären nur 2-3 Zeilen Css nötig.

  23. Pingback: Facebook: Über erschlichene “Likes” und das unerlaubte Sammeln von Nutzerdaten auf :::kHOSSmos

  24. Danke für diese Aufklärung. Ich finde es schlimm, welche Machenschaften den User reinlegen wollen. Hoffen wir, das es bald einen Riegel vorgeschoben bekommt. Spam mal anders!

  25. Frank H. sagt:

    Sehr guter Artikel! Daumen hoch! Erlauben Sie die Verlinkung Ihres Artikels auf einer externen Security Seite?

    Viele Grüße
    Frank

  26. Julian sagt:

    Ob das auch mit einem Flatr-Button funktionier ?

    • david sagt:

      Habe bisher noch nichts mit Flattr gemacht. Ich denke mal es wird allein schon daran scheitern, dass man – im Gegensatz zu Facebook – nicht ständig bei Flattr eingeloggt ist.

  27. Rainer sagt:

    Danke für die Erleuchtung! Aber bitte nicht einfach „Like entfernen“ wählen sondern „Als Spam melden“.

  28. Der @phillippn hat ein paar echt interessante Sachen aus dem Hut geholt. Einmal ein Script, das bei Klick automatisch einen „LIKE“-Generiert. Bitte schön: http://pn-it.com/fb/#

    Dann meinte er, dass diese Anwendung automatisch Pinnwandeinträge generiert: http://apps.facebook.com/hellenismkpmga/ Habs noch nicht getestet, kann das wer verifizieren?

    Hier hat er die Anwendung decodiert: http://wepawet.cs.ucsb.edu/view.php?hash=a4c43e449f98eab65732533c2d8a5185&type=js

    Kann da wer was mit anfangen?

  29. Daniel sagt:

    Ich habe diese komischen Videos auch die ganze Zeit in meinem Facebookstream und wollte gestern mal nachschauen, um was es sich da eigentlich handelt. Genau das, was du beschrieben hast dachte ich mir auch schon.
    Also Link kopiert, aus Facebook ausgeloggt und dann den Link mal angeschaut. Wollte auf Play klicken, aber die Seite wollte erst einen Facebook Login. Also doch kein Video. ;-)
    Gut, dass du das hier so ausführlich beschreibst.

  30. Torsten Blümel sagt:

    Nicht ganz so perfekt war dieser Link, den ich letzte Woche bei Facebook gepostet fand, angeblich aus meiner Freundesliste.
    Angeklickt und dann nicht weitergemacht, weil man vor dem Video den Link schon teilen und liken sollte. Hab es dann umgangen und es wurde noch ’ne Nummer besser… als nächstes sollte vor dem Video ein Spiel gemacht werden. Mit der Eingabe der Handynummer hätte man ein Spiel abboniert für 2,99 € für je 5 Tage-Abrechnungsperiode.
    Nach dem ich den Link entsprechend mit einer Warnung kommentiert hatte, verschwand er innerhalb von Sekunden von meinem Bildschirm.

    http://www.onlinenews-24.com/dsds/dsds-fake.html

  31. Pingback: Das Facebook-Novum

  32. Ludren sagt:

    Selbst mit „Beitrag + Like entfernen“ wird mn es nicht komplett los.
    Versteckt sich zusätzlich noch bei „Aktivitäten und Interessen – Sonstiges“

    Kann gelöscht werden: Profil – Info – Aktivitäten und Interessen – Andere Seiten anzeigen (Bearbeiten)

  33. Pingback: Erst liken, dann lesen – Neugier versus Vernunft | Webmädchens Märchenweb

  34. Philipp sagt:

    Gestern gab es bei Facebook viele Einträge auf Pinnwänden mit Spamlinks.
    Hier meine Analyse dazu: http://s.pn-it.com/VBL

    Zum Einsatz kam ein Javascript, das automatisiert (also ohne Interaktion) auf allen (oder fast allen) Profilen von Freunden einen Link gepostet hat. Noch um einiges gemeiner als die erschlichenen Likes…

  35. Pingback: Facebook-Spam | Floyboy

  36. Pingback: Facebook: Guttenberg-Fans, Likes – und Viren « LATRINUM

  37. Pingback: Lesenswert: Tamyca, waydoo, Facebook, Skype, Venture Capital, Top Investoren, SEO :: deutsche-startups.de

  38. Pingback: Facebook Video-Spam per Like-Button erkennen und melden | Early Adopter - Info-Blog für Technik Freaks

  39. Pingback: Volker König » Blog Archiv » Kann man etwas versehentlich mögen? Bei Facebook ja! (Updates)

  40. Pingback: NO Black Hat SEO - Geschichten von der dunklen Seite der Macht - Facebook-SPAM | Privater Blog von Micha

  41. Pingback: Too much information » Lesezeichen

  42. Pingback: Facebook Spamfilter | PN-IT

  43. Ralf sagt:

    Schön. Und auch wenn das eine fiese Mache ist, fasziniert es mich doch, mit welcher kriminellen Phantasie Plattformen wie Facebook aufs Korn genommen werden!

  44. Kaiser sagt:

    Eh schon ein alter Hut, aber wenn’s aufs Fratzenbuch kommt, ist’s jedem eine Analyse wert :)

    Schaut doch einmal auf folgende Seiten(-typen): Wares-/Torrent-/Serial-/Keysites, P*rn*seiten, Streamseiten (zB via kino.to). Dort ist das alles schon lange gang und gebe. Da hat sich bloß einer von den echten Profis eine Scheibe abgeschnitten.

  45. Matyi sagt:

    Hey, super recherchiert, und danke für die ausführlichen Infos, allerdings frage ich mich gerade, ob du es Trittbrettfahrern gerade ermöglichst, das nachzubauen, da du hier den Java-Code veröffentlichst?

  46. Pingback: Haha, ich klicke auf “Videos” ohne zu merken, dass ich eigentlich auf einen “Share”-Button drücke! | Platz der KOSMONAUTEN

  47. Pingback: The Facebook-Novum | Mindpark — Mediebloggen

  48. Susann sagt:

    Guten Morgen!

    Bin auch gerade so einem Spam-Link aufgesessen.
    http://lilwayne.ch/Idiot/

  49. Dominik sagt:

    Hi, das hab ich schon vor sehr langer Zeit mal erwähnt http://www.elexpress.de/internet/neue-clickjacking-sicherheitslucke-ermoglicht-ungewollte-facebook-like-button-aktivitaten/ und auch Facebook über diese immer schlimmer werdenden Praktiken informiert. Seitens Facebook aber keinerlei Rückmeldung erhalten.

  50. Martin sagt:

    Danke für die ausführliche Aufklärung. ;)

  51. Pingback: Facebook Scam – LOL! :D Von den Freundinnen bei netten WEBCAM Spielchen erwischt! | Dasgeht.net

  52. whatever sagt:

    ok, duesbezüglich habe ich noch eine andere Frage.
    die sache ist mir auch schon zweimal passiert, -> rechts oben auf X und dann wie gesagt Beitrag+Like entfernen. erledigt.

    ABER

    hat man nun ein paar Freundeslisten angelegt und will diese bearbeiten, tauchen die entsprechenden „Links“ oder Namen der Links dort immer noch auf.

    wie werd ich das wieder los???
    wenn ich „alle Freunde“ klicke tauchen die Namen der Links dort komischerweise nicht auf, eben nur wenn ich eine Liste bearbeiten will und dann unter „mehrere hinzufügen“ suche/scrolle

    besten Dank schon mal für die Hilfe!

    beste grüße whatever

  53. Pingback: NormCast.de » LikeJacking

  54. David sagt:

    Habe auch ein Tutorial über dieses Thema, nur hier liked man nur durch den Besuch :)

  55. Johnnii360 sagt:

    Lang lebe Firefox mit NoScript-Plugin. :)

  56. Pingback: Clickjacking-Seiten nutzen Facebook-Lücke aus und setzen „Gefällt mir“-Links auf die eigene Pinnwand | Sansiba online – der Blog

  57. Lars sagt:

    Es gibt noch schlimmere Methoden. Hier (http://www.fanslave.net/ref.php?ref=110248&lan=de) kann man sich Likes kaufen oder tauschen. Ob es einen Mehrwert hat bezweifel ich :D

  58. SSD sagt:

    mit NoScript ist man vor solchen tricks geschützt ;-)

  59. ds sagt:

    Oder man könnte den Titel des Videos auch einfach auf YouTube eingeben, so sieht man es ohne dieses Problem ;)

  60. Pingback: The Facebook-Novum | Jardenberg Unedited

  61. Pingback: Too much information - Papierkorb - Lesezeichen

  62. Pingback: Vorsicht: manipulierter Like-Button! « Marcel Pauly

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.