rss-icon mail-icon

Portfolio Christian Waldmann

Vom:
Facebook Phishing-Seite(n) erkennen

Blog

Mein "Kompendium" und sonstige Projekte

Facebook Phishing-Seite(n) erkennen

Aus aktuellem Anlass – ich bin selber fast in eine Falle getappt – möchte ich euch einmal zeigen wie raffiniert eine Phishing-Seite aufgebaut sein könnte. Bei einem Phishing-Angriff wird in den meisten Fällen versucht, Zugang auf ein Nutzerkonto zu erlangen. Dies geschieht durch  Diebstahl der Loggin-Daten. Meistens ist das Ziel eines solchen Angriffs der Zugang zu einem Online-Banking-Konto. Jedoch werden auch immer mehr Social-Media Plattformen interessant, da damit eine große Anzahl an Usern auf einmal erreicht werden kann.

Die Einladung zum klicken auf den Phishing-Link

In meinem Fall wurde die Falle geschickt über einen gehackten Facebook-Account einer Bekannten ausgelegt. Ich kann nur vermuten, dass sie selber Opfer dieser Phishing-Seite geworden ist und so ihre Zugangsdaten preisgegeben hat.

Angefangen hat das ganze mit einem geposteten Link an ihrer Pinnwand und einem Satz: „Erinnert ihr euch noch an das Foto? Das waren gute Zeiten“.  Der erste Verdacht ist mir gekommen, als ich auf die Kommentare geklickt habe. Hier waren alle ihre Freunde als „Erwähnung“ aufgeführt.

 

Klickt man nun auf den Link, baut sich eine neue Seite auf, die dem Login von Facebook zum Verwechseln ähnlich sieht. Auch die URL, die auf die Seite führt, scheint auf den ersten Blick die normale Facebook-Login-Seite zu sein.

Du must dich anmelden, um diese Seite sehen zu können

Nachdem sich die Seite aufgebaut hat, empfängt dich ein „Du must dich anmelden, um diese Seite sehen zu können“. Dieser Satz dürfte so gut wie jedem Facebook-Nutzer bekannt sein. Vermutlich hat jeder schon einmal seine Daten auf der echten Seite eingegeben.

Wie erkenne ich eine Phishing-Seite?

Nachdem die Seite dem Original zum verwechseln ähnlich sieht, ist dies sehr schwierig zu beantworten. Man muss sehr genau hinsehen um die kleinen Unterschiede zu erkennen.

Die falsche URL

Die URL (Adresse) der Phishing-Seite sieht auf den ersten Blick korrekt aus.

Die originale URL zum Facebook-Login

gefälschte URL

Sie fängt wie die echte mit einem www.facebook.com an. Auch lautet die Seite für die Authentifizierung bei Facebook www.facebook.com/login.php. Hier ist jedoch der Unterschied: Auf der gefälschten URL geht es nach dem „.com“ mit einem „.“ und nicht mit einem „/“ weiter.

Fehlende Funktionalität

Ein wesentlicher Unterschied zur Originalseite ist die fehlende Funktionalität der Links. Was aber nicht immer der Fall sein muss!

Auf dieser Seite funktioniert sowohl das Umschalten der Sprache, als auch die Navigation im Footer-Bereich mit den Links „Handy, Freunde finden, Banner, Seiten, …“, sowie der „Passwort vergessen-Link“,  nicht.

Einzig und allein der Button „Anmelden“ funktioniert; aber nur um eure Loggin-Daten zu stehlen.

Optische Unterschiede

Optische Unterschiede sind auf den ersten Blick nicht zu erkennen. Der einzige Unterschied ist, das die Originalseite einen „Registrieren“-  anstelle eines „Sign Up“- Button besitzt.

Für Fortgeschrittene: der Quellcode

Wer sich nach einem Anfangs-Verdacht den Quell-Code ansieht, dem fällt auf, dass alle verwendeten Bilder nicht von Facebook geladen werden. In meinem Fall wurden diese von einem blogspot.com Konto geladen. Blogsport ist ein kostenloser Blogging-Dienst von Google.

Ein weiteres Indiz im Quell-Code sind die „In-Line“ angegebenen CSS-Deklarationen. Im Vergleich dazu verwendet das Original Style-Sheets.

Augen Auf – Nicht jedem Vertrauen

Die obigen Merkmale müssen nicht auf alle Phishing-Seite zutreffen. Daher ist es sehr schwer eine Solche zu erkennen.

Wenn man sich aber einige Fragen stellt und die Augen aufbehält, hat man eine große Chance eine Phishing-Seite zu erkennen:

  • Warum muss ich mich noch einmal einloggen? Bin ich doch schon!
  • Warum muss ich mich bei einer externen Seite mit meinem Facebook-Account authentifizieren?
  • Warum sind alle Freunde in den Kommentaren als „Erwähnungen“ aufgeführt?
  • Warum ist die Nachricht an alle Freunde gegangen?
  • Warum ist derselbe Beitrag schon mehrfach auf der Pinnwand erschienen?

Wichtig – Andere warnen!

  • Wenn ihr einen solchen Link erkennt, dann warnt andere davor, z.B. über einen Kommentar!
  • Informiert Facebook über euren Verdacht. Das geht über das kleine „X“ neben einem Kommentar oder über den „Pfeil-Nach-Unten“, der neben dem Post an der Pinnwand zu finden ist.
  • Warnt die betroffene Person (wenn es euch möglich ist), damit diese ihr Passwort zu ihrem Account ändert kann, sodass nicht noch weitere Links auf die Phishing-Seite gepostet werden können.

Facebook: Missbrauch melden.

Weitere Informationen

Hilfe-Seite von Facebook zu Phishing