Reingefallen: Wie man sich auf Facebook „Likes“ erschleicht

Ich dachte eigentlich, immun gegen so billige Spielchen zu sein. Aus dem „Ich weiß schon, wo ich hinklicke“-Grund hatte ich auch lange Zeit keinen Virenscanner drauf und fuhr eigentlich immer gut. Gestern hat michs jedoch erwischt – auf Facebook. Also jetzt nicht so richtig erwischt, aber ich habe ein Video geliked, ohne es zu wollen. Erbost ging ich der Sache auf den Grund und war ziemlich schockiert über diese miese Praktik. Aber der Reihe nach.

Es handelt sich „http://ksmp3.de/Guten-Morgen-Schatz-geht-daneben/„. Bitte erstmal nix klicken. Facebook packt den Like-Button sinnvollerweise in ein IFrame, weil man so mit Javascript keinen Klick auslösen kann (Cross Domain Policy). Also muss der User selbst „Like“ klicken. Das was da erstmal aussieht, wie ein ordinäres Youtube-Video hat auf den zweiten Blick nicht mehr viel damit zu tun, da es sich eigentlich nur um Bilder handelt:

Die normale Play-Bar:

Und bei Hover:

Dasselbe beim eigentlichen Video-Content:

…und gehovert:

Okay, schonmal ziemlich gut gemacht. Der Benutzer klickt nun also in freudiger Erwartung auf das Video. Jetzt greift folgendes Javascript:

$(document).ready(function() 
{
	$('#player').mousemove(function(e) {
		$('#adra').css('left', e.pageX-1+'px');
		$('#adra').css('top', e.pageY-1+'px');
	});
	
	$('#player1').hover(function(){ $(this).css('background', 'url("videoContent2.jpg")');
					  },function(){ $(this).css('background', 'url("videoContent1.jpg")'); });
					  
	$('#player2').hover(function(){ $(this).css('background', 'url("videoNav2.jpg")');
					  },function(){ $(this).css('background', 'url("videoNav1.jpg")'); });						      
});	

done = function()
{
	$('#player').css('display', 'none');
	$('#realPlayer').css('display', 'block');
}

Aha. Das Element #adra folgt also der Maus. Beim Hover werden die Pseudo-Video-Bilder ausgetauscht, wie man es von Youtube gewohnt ist. Und beim Klick verschwindet letztendlich der Player und gibt das frei, was darunter liegt – Das freundlicherweise sogar #realPlayer genannte Element, mit dem wirklichen Video.

Im #adra-Div liegt der Facebook-Like-Iframe mit folgendem CSS:

element.style {
	position: absolute;
	width: 2px;
	height: 2px;
}

Wenn wir jetzt mal die Dimension des #adra-Divs und des darin befindlichen Iframes etwas anpassen, kommen wir zu folgendem Ergebnis:

Tja, und nach einem Klick geht dann das eigentliche Youtube-Video los. Vom Prinzip her eigentlich nur Clickjacking in Perfektion – in einem verhältnismäßig ungefährlichen Kontext. Da ich aber hier selbst mal auf die Nase gefallen bin, hats mich doch ziemlich sensibilisiert. Und man überlege sich mal, was mit dieser miesen Taktik noch alles möglich wäre, ohne das der Benutzer etwas mitbekommt: Mit Vollzugriff ausgestattete Facebook-Apps erlauben etwa. Für Datencrawler ein Paradies.

Ich habe das erstmal bei Facebook gemeldet. Los werdet ihr den Mist wieder, indem ihr auf eurer Pinnwand das „X“ beim Beitrag klickt und Beitrag + Like entfernen wählt. Ich scheine wohl auch nicht der Einzige zu sein, der darauf reingefallen ist. Aktuell verbreitet sich das Video wie die Seuche.

Weitere Posts:

Dieser Beitrag wurde unter Javascript, misc IT, Persönlich veröffentlicht. Setze ein Lesezeichen auf den Permalink.

83 Antworten auf Reingefallen: Wie man sich auf Facebook „Likes“ erschleicht

  1. Detlef Peter sagt:

    Ganz gut durchschaut :)

    hab dich lieb :-*

    1. Fan von Detlef Peter!!! sagt:

      Ich hab dich auch lieb!

      *kussi* für den guten Artikel !

      :* *schmatz*

  2. Lars Gx sagt:

    Danke für die Info, ist wirlkich ’ne Frechheit. Aber „Viren“ sind auch nur so schlau wie die Dummheit der User.

    1. Masse Massimo sagt:

      Der Satz ‚“Viren“ sind auch nur so schlau wie die Dummheit der User‘ ist meiner Meinung nach völlig unangebracht in diesem Zusammenhang. Ganz offensichtlich fällt auf die Masche auch jemand rein, der reichlich Erfahrung sein Eigen nennt. Natürlich, wenn man jede Seite mit den korrekten Tools (und einer Unmenge an Zeit) untersucht, kann man das umgehen. Das ist aber nicht klug sondern paranoid und vor allem schlicht unpraktikabel. Ich fürchte wir müssen akzeptieren, dass auch „kluge“ User nicht gegen alles gefeit sind. Javascript zu deaktivieren halte ich auch für übertrieben, aber das wäre die einzig halbwegs diskutierbare Möglichkeit, viele Gefahren auszuschalten.

  3. Oliver sagt:

    Da würd mich ja mal interessieren, ob manch Gutti verwirrte auch mit sowas arbeiten!?

  4. mabo sagt:

    Diesen „Trick“ kann man gut nutzen um Meinungsbilder in einem sozialen Netzwerk zu verfälschen.

    btw. „anonym“ oder „immun“?

    1. david sagt:

      i opt for the second ;)

  5. anonym sagt:

    habe das Video dummerweise auch gesehen. Jetzt wird es ständig an meiner Pinnwand angezeigt obwwohl ich es schon min. 20 mal entfernt habe. habe es so gar als Spam gekennzeichnet doch es erscheint immer wieder. Wäre lieb wenn jemand eine lösung für mein Problem hätte.
    Lg

  6. david sagt:

    Und der Spaß geht direkt weiter -> http://3.ly/evPp

    Das weitet sich jetzt so schnell aus, das Facebook das komplette Konzept der Like-Buttons überarbeitet, ich sags euch

  7. Oliver sagt:

    Ich hab mir das jetzt mal angesehen. Bei mir legt es sich vierfach aufs Maul:
    – Noscript
    – Request Policy
    – Easylist Privacy
    und ich hab keinen Facebook Account mehr. :-)

  8. surfer sagt:

    https://addons.mozilla.org/de/firefox/addon/noscript/

    das firefox-addon „NO SCRIPT“ bietet zumindest schon mal einen gewissen schutz.

    1. david sagt:

      Ich persönlich mag noscript nicht, weil man sich damit im Web einiger Funktionen selbst beraubt. Und wir „Webleute“ wollen ja schließlich, dass unsere Besucher das bestmögliche Erlebnis haben.

      1. Oliver sagt:

        Du sach ma, wat is das eigentlich für ein Deutsch?
        [davblog: webdev and stuff] Neues Kommentar für: …

        1. david sagt:

          Soll ich dem Plugin-Übersetzer mal diesen Link schicken ;)?

      2. chrhoppe sagt:

        Ich finde no-script prima und es hat mich genau vor erwähntem Clickjacking gewarnt. Der Vorteil ist, dass no-script nicht einfach stillschweigend etwas für den User nicht durchschaubares tut, sondern immer, wenn es aktiv wird (was auf so ziemlich jeder HP der Fall sein dürfte) dies direkt auf der Seite oder zumindest in der Leiste am unteren Ende des Browser signalisiert und man dann selbst entscheiden kann, ob dieses oder jenes Script für die momentanten Zwecke denn auch benötigt wird.

        1. Peter sagt:

          sorry, aber einen webbrowser mit no-script zu betreiben ist ungefähr so, als würde man beim Auto den Motor ausbauen um Benzin zu sparen.

          Keine Frage gibt es böse Jungs, die allerlei Schabernack treiben, dennoch überwiegen die Vorteile von Scripts. So Videos gibt’s auch heute noch, mal komplexer, mal weniger komplex. Weniger komplex reicht aber für die meisten aus, weil klickt eher jeder auf Like, wenn er das vid sehen will :-)

  9. Thomas Rosenberg sagt:

    vielen dank für die ausführlichen infos, habe diesen blog mal meinen kollegen/innen auf fb gepostet…

  10. Stephan Hradek sagt:

    Schau Dir doch auch mal die Pro-Guttenberg Seiten bei Facebook an. Da funktioniert das ganze sogar ohne Klick, wenn ich mich nicht irre. Jedenfalls hatte ich plötzlich einen „Like“ auf die Seite obwohl ich nicht geklickt habe.

  11. Thomas sagt:

    Danke für die ausführliche Analyse.
    Hatte vorhin einen ähnlichen Effekt, aber mit http://gameibot.net/abc/

  12. Markus sagt:

    Danke für die gute Recherche und die Info!

    Viele Grüße
    Markus

  13. @stephan: Genau das haben ich und noch ein paar andere uns heute nach Lektüre dieses Blogs gefragt: ob das bei der Gutti-Seite auch passiert…

    @david: Kannst du als Entwickler was dazu sagen? Wäre es möglich auf diese Weise bei FB auch Fans zu fangen?

    1. david sagt:

      Wie meinst du „Fans fangen“? Ich denke doch mal, dass das „Liken“ eines Videos sich in nichts vom Liken einer Person / Band unterscheidet. Insofern wäre diese Masche also auch darauf zu übertragen.

  14. Carsten sagt:

    Danke für die Hintergründe! Ich habe heute bei einigen Freunden auch diverse Links an der Pinnwand gesehen, von denen sie selbst nichts wussten. Mich hat vermutlich ein Eintrag in der AdBlock-Blockierliste („||facebook.com/*$third-party“) davor bewahrt, selbst davon betroffen zu sein.

    1. bla sagt:

      Naja damit blockst du dann aber ALLE Like-Buttons ;)

      1. Carsten sagt:

        Das ist richtig, aber nicht zu vermeiden ;)

  15. Stephan Hradek sagt:

    @Daniel Da Tobias H. hinter den (einigen?) Pro Guttenberg Seiten steckt, halte ich das für mehr als wahrscheinlich. Selbst dann, wenn ich das oben beschriebene Erlebnis nicht gehabt hätte. Dieser Sarazzin Fan Tobias H. ist für mich eine der übelsten Personen im Netz.

  16. Mariusz sagt:

    Hab dazu mal ne kleine Infografik gemacht, weil das Clickjacking in letzter Zeit massiv zugenommen hat: http://twitpic.com/46qt6x/full

    1. Superteil! Kann ich das auch in meinem Blog verwenden?

      1. Mariusz sagt:

        Klar.. immer zu :)

      2. Mariusz sagt:

        Achja.. kurze Referenz waere ned schlecht, TwitterAcc z.B.

        1. Klar. Kein Ding. Ich komm nur gerade nicht zum bloggen :-(

  17. Martin Rack sagt:

    Die benutzen echt Javascript dafür? Eigentlich wären nur 2-3 Zeilen Css nötig.

  18. Danke für diese Aufklärung. Ich finde es schlimm, welche Machenschaften den User reinlegen wollen. Hoffen wir, das es bald einen Riegel vorgeschoben bekommt. Spam mal anders!

  19. Frank H. sagt:

    Sehr guter Artikel! Daumen hoch! Erlauben Sie die Verlinkung Ihres Artikels auf einer externen Security Seite?

    Viele Grüße
    Frank

  20. Julian sagt:

    Ob das auch mit einem Flatr-Button funktionier ?

    1. david sagt:

      Habe bisher noch nichts mit Flattr gemacht. Ich denke mal es wird allein schon daran scheitern, dass man – im Gegensatz zu Facebook – nicht ständig bei Flattr eingeloggt ist.

  21. Rainer sagt:

    Danke für die Erleuchtung! Aber bitte nicht einfach „Like entfernen“ wählen sondern „Als Spam melden“.

  22. Der @phillippn hat ein paar echt interessante Sachen aus dem Hut geholt. Einmal ein Script, das bei Klick automatisch einen „LIKE“-Generiert. Bitte schön: http://pn-it.com/fb/#

    Dann meinte er, dass diese Anwendung automatisch Pinnwandeinträge generiert: http://apps.facebook.com/hellenismkpmga/ Habs noch nicht getestet, kann das wer verifizieren?

    Hier hat er die Anwendung decodiert: http://wepawet.cs.ucsb.edu/view.php?hash=a4c43e449f98eab65732533c2d8a5185&type=js

    Kann da wer was mit anfangen?

  23. Daniel sagt:

    Ich habe diese komischen Videos auch die ganze Zeit in meinem Facebookstream und wollte gestern mal nachschauen, um was es sich da eigentlich handelt. Genau das, was du beschrieben hast dachte ich mir auch schon.
    Also Link kopiert, aus Facebook ausgeloggt und dann den Link mal angeschaut. Wollte auf Play klicken, aber die Seite wollte erst einen Facebook Login. Also doch kein Video. ;-)
    Gut, dass du das hier so ausführlich beschreibst.

  24. Torsten Blümel sagt:

    Nicht ganz so perfekt war dieser Link, den ich letzte Woche bei Facebook gepostet fand, angeblich aus meiner Freundesliste.
    Angeklickt und dann nicht weitergemacht, weil man vor dem Video den Link schon teilen und liken sollte. Hab es dann umgangen und es wurde noch ’ne Nummer besser… als nächstes sollte vor dem Video ein Spiel gemacht werden. Mit der Eingabe der Handynummer hätte man ein Spiel abboniert für 2,99 € für je 5 Tage-Abrechnungsperiode.
    Nach dem ich den Link entsprechend mit einer Warnung kommentiert hatte, verschwand er innerhalb von Sekunden von meinem Bildschirm.

    http://www.onlinenews-24.com/dsds/dsds-fake.html

  25. Pingback: Das Facebook-Novum
  26. Ludren sagt:

    Selbst mit „Beitrag + Like entfernen“ wird mn es nicht komplett los.
    Versteckt sich zusätzlich noch bei „Aktivitäten und Interessen – Sonstiges“

    Kann gelöscht werden: Profil – Info – Aktivitäten und Interessen – Andere Seiten anzeigen (Bearbeiten)

    1. david sagt:

      Da taucht es bei mir nicht auf.

  27. Philipp sagt:

    Gestern gab es bei Facebook viele Einträge auf Pinnwänden mit Spamlinks.
    Hier meine Analyse dazu: http://s.pn-it.com/VBL

    Zum Einsatz kam ein Javascript, das automatisiert (also ohne Interaktion) auf allen (oder fast allen) Profilen von Freunden einen Link gepostet hat. Noch um einiges gemeiner als die erschlichenen Likes…

  28. Ralf sagt:

    Schön. Und auch wenn das eine fiese Mache ist, fasziniert es mich doch, mit welcher kriminellen Phantasie Plattformen wie Facebook aufs Korn genommen werden!

  29. Kaiser sagt:

    Eh schon ein alter Hut, aber wenn’s aufs Fratzenbuch kommt, ist’s jedem eine Analyse wert :)

    Schaut doch einmal auf folgende Seiten(-typen): Wares-/Torrent-/Serial-/Keysites, P*rn*seiten, Streamseiten (zB via kino.to). Dort ist das alles schon lange gang und gebe. Da hat sich bloß einer von den echten Profis eine Scheibe abgeschnitten.

  30. Matyi sagt:

    Hey, super recherchiert, und danke für die ausführlichen Infos, allerdings frage ich mich gerade, ob du es Trittbrettfahrern gerade ermöglichst, das nachzubauen, da du hier den Java-Code veröffentlichst?

    1. david sagt:

      Wer wirklich sowas nachbauen möchte, ist auch selbst fähig in den Quellcode einer solchen Seite zu schauen.

  31. Susann sagt:

    Guten Morgen!

    Bin auch gerade so einem Spam-Link aufgesessen.
    http://lilwayne.ch/Idiot/

  32. Dominik sagt:

    Hi, das hab ich schon vor sehr langer Zeit mal erwähnt http://www.elexpress.de/internet/neue-clickjacking-sicherheitslucke-ermoglicht-ungewollte-facebook-like-button-aktivitaten/ und auch Facebook über diese immer schlimmer werdenden Praktiken informiert. Seitens Facebook aber keinerlei Rückmeldung erhalten.

  33. Martin sagt:

    Danke für die ausführliche Aufklärung. ;)

  34. whatever sagt:

    ok, duesbezüglich habe ich noch eine andere Frage.
    die sache ist mir auch schon zweimal passiert, -> rechts oben auf X und dann wie gesagt Beitrag+Like entfernen. erledigt.

    ABER

    hat man nun ein paar Freundeslisten angelegt und will diese bearbeiten, tauchen die entsprechenden „Links“ oder Namen der Links dort immer noch auf.

    wie werd ich das wieder los???
    wenn ich „alle Freunde“ klicke tauchen die Namen der Links dort komischerweise nicht auf, eben nur wenn ich eine Liste bearbeiten will und dann unter „mehrere hinzufügen“ suche/scrolle

    besten Dank schon mal für die Hilfe!

    beste grüße whatever

  35. David sagt:

    Habe auch ein Tutorial über dieses Thema, nur hier liked man nur durch den Besuch :)

    1. david sagt:

      Beziehst du dich dadrauf? Der Code scheint aber auch darauf zu basieren, dass du selbst irgendwo auf der Seite klicken musst.

  36. Johnnii360 sagt:

    Lang lebe Firefox mit NoScript-Plugin. :)

  37. Lars sagt:

    Es gibt noch schlimmere Methoden. Hier (http://www.fanslave.net/ref.php?ref=110248&lan=de) kann man sich Likes kaufen oder tauschen. Ob es einen Mehrwert hat bezweifel ich :D

  38. SSD sagt:

    mit NoScript ist man vor solchen tricks geschützt ;-)

  39. ds sagt:

    Oder man könnte den Titel des Videos auch einfach auf YouTube eingeben, so sieht man es ohne dieses Problem ;)

  40. Niklas sagt:

    Das war uns auch noch nicht bekannt. Interessanter Beitrag.

Schreibe einen Kommentar zu Mariusz Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert