Über das Likejacking – also das fingieren des „Like“-Klicks bei Facebook, um Fans einer Seite zu sammeln und eine Website an deren Pinwand zu zeigen, habe ich schon hier und hier geschrieben. Beim neusten Trick muss man aber nichtmal auf irgendwas klicken, der Aufruf der Seite reicht schon.
Das ganze fiel mir auf, als ich plötzlich bei einem Pinwandposting dieser sensationsheischenden Videos englischsprachige Kommentare von Freunden, die hier um die Ecke wohnen, las.
Komisch, dachte ich, und klickte, um mir die Seite anzusehen. Den Trick mit der Kommentarbox, die als Captcha-Eingabefeld getarnt war, hatten wir ja schon.
Die Seite sprang mit einigen Fehlermeldungen und Weiterleitungen auf und zeigte diese Auswahl:

Aha, dachte ich, diesmal muss man die Methode der „Account-Verification“ wählen und hinter jeder Auswahl steckt einer der englischen Kommentare.
Aber weit gefehlt. Ich habe nichts geklickt und trotzdem kommentiert und geliked:

Da der Weg zur eigentlichen Website über mehrere HTML-Fehlerseiten und Weiterleitungen ging mache ich mir jetzt nicht die Mühe, das technisch zu beleuchten. Facebook wird sicherlich seine Programmierer drauf hetzen, das zukünftig zu unterbinden. Oder auch nicht.
Und wieder die Frage, was wir damit machen? Genau:
Nämlich als SPAM markieren und allen weitersagen, dass sie den Scheiss nicht anklicken sollen. Ich finde, es wird langsam mal Zeit, dass Herr Zuckerberg das Melden von Likejacking vereinfacht. Im Moment läuft wieder jeden Tag irgendeiner dieser Links über meine Pinwand. Da auf den Seiten auch durchaus Drive-By-Downloads von Schadsoftware ausgelöst werden können, dient das auch dem Schutz des Rufes von Facebook.
Wenn man denn daran Interesse hat.

Kategorien: Allgemein