Eine neue Phishing-Methode ist aufgetaucht, die es auf Facebook-Kontendaten abgesehen hat. Die Methode ist so einfach, dass man sich wundert, warum vorher (hoffentlich) noch keiner darauf gekommen ist. Im aktuellen Fall handelt es sich um ein augenscheinliches Facebook-Login, das in Spiele im Google Play Store eingebettet war.
Der Angriff beruht auf der Tatsache, dass Anwendungen neben einer eigenen Registrierung bei dem jeweiligen Anbieter zunehmend auch die Anmeldung über das Facebook- oder Google-Konto erlauben. Auch andere Anbieter könnten hier betroffen sein, jede Art von zentralisiertem Login kann durch diese einfache Manipulation ausgehebelt werden.
Achtung! Auf ganz ähnliche Weise locken derzeit Videos mit pornografischen Inhalten direkt auf Facebook Benutzer auf Seiten, die einen weiteren Login für Facebook vortäuschen. Im Prinzip könnte jede Art von Beitrag dazu genutzt werden. Grundsätzlich gilt: Wer bei Facebook eingeloggt ist, sollte weiteren Login-Dialogen misstrauen. Mehr dazu bei Mimikama.
Der korrekte Login per Facebook
Kern der Methode ist, dass Anwender häufig nicht unterscheiden können, ob sie nun einen legitimen Facebook-Login oder eine Fälschung präsentiert bekommen. Einfach gesagt funktioniert ein legitimer Login über einen Anbieter wie Facebook oder Google so:
Eine App oder ein Webdienst wie z.B. Spotify ermöglicht die Registrierung und den Login über Facebook. Wird diese Option genutzt, wird auf dem Gerät überprüft, ob es einen aktuellen und gültigen Facebook-Login auf dem System gibt. Hier der Anmeldedialog der Browser-Version von Spotify:
Klickt man auf „Mit Facebook anmelden“, funktioniert dieser ohne jede weitere Rückfrage, sofern in diesem Browser oder auf dem verwendeten Mobilgerät eine aktuelle gültige Anmeldung bei Facebook vorliegt. Man ist also im Anschluss direkt mit den Facebook-Benutzerdaten bei Spotify angemeldet.
Wenn aber keine gültige Anmeldung bei Facebook im Browser oder Gerät vorliegt, wird man auf die Webseite von Facebook weitergeleitet, um dort einen vollständigen Login durchzuführen und anschließend zu Spotify zurückzukehren.
Die Phishing-Masche
Die Phishing-Masche benötigt nun eine App oder einen Webdienst, der eigentlich gar keinen Login braucht. Im konkreten Fall wurden zwei Spiele im Google Play Store platziert, die kostenlos verfügbar waren und wirklich gespielt werden konnten, also keine Fakes. Mittlerweile wurden die beiden Spiele aus dem Play Store entfernt. Eines, Jump Chess, wurde bis zu 5000 Mal heruntergeladen, das andere, Cowboy Adventure, sogar bis zu eine Million Mal.
Es handelt sich aus technischer Sicht um ganz normale Apps, die weder die Sicherheitsmechanismen von Google noch die eines Antivirusprogramms auslösen würden, da sie keinerlei verdächtigen Code enthalten und keine ungewöhnlichen Systemzugriffe durchführen. Stattdessen zeigen sie beim Start des Programms, und zwar interessanterweise nur dann, wenn der Benutzer sich in Asien befindet, folgendes Fenster an:
Der Anwender muss jetzt selbstständig erkennen können, dass eine legitime App, die nicht die eigentliche Facebook-App ist, niemals selbst nach den Facebook-Anmeldedaten fragt, sondern den Login über Facebook auslöst. In diesem Fall aber fragt das Spiel selbst den Benutzer nach Benutzernamen und Passwort für Facebook, statt die Legitimität des Logins durch Facebook feststellen zu lassen, wie das bei Spotify der Fall ist.
In diesem Fall gibt es also gar keinen echten Login, dieses Formular hat einzig und allein die Aufgabe, Benutzernamen und Passwort für Facebook an die Hersteller der Spiele weiterzuleiten, woraufhin diese dann das Facebook-Konto übernehmen können. Jede beliebige Kombination von Angaben führt hier zum Spiel, die Anmeldung ist nur Illusion.
Diese Art von Phishing kann durch Antivirusprogramme und andere technische Schutzmaßnahmen kaum gestoppt werden, weil natürlich jedes Programm Eingabefelder besitzen kann. Dieses Fenster spielt mit der angeborenen Mustererkennung des Benutzers: er sieht ein Facebook-Logo, darunter die gewohnten Eingabefelder, also schließt er, dass er sich nun bei Facebook einloggen soll, obwohl er sich gar nicht bei Facebook befindet, sondern ein Spiel gestartet hat. Darauf hereinzufallen, ist sehr leicht. Ein Schutzprogramm hingegen besitzt nicht die -in diesem Fall irregeführte- Intelligenz eines Benutzers, für solch ein Programm gibt es hier nur ein Bild und zwei Texteingabezeilen sowie einen Knopf. Kein Grund für einen Alarm.
Schutz bietet nur die eigene Aufmerksamkeit
Gegen Angriffe nach diesem Muster hilft also nur die eigene Aufmerksamkeit, die wiederum auf einem gesunden Grundwissen über Anmeldetechniken und Sicherheitsrisiken fußen muss, um sich hier nicht aufs Glatteis führen zu lassen.
Wieder einmal zeigt sich, dass Schutzsoftware kein Ersatz für Grundkenntnisse und gesunden Menschenverstand sein kann. Es ist für Anwender unerlässlich, sich in Sicherheitsdingen auf dem Laufenden zu halten.