Facebook-Phishing (geralt/pixabay)

Facebook-Phishing: HTML-Befehl machts möglich

18. Februar 2017 2 min read

Facebook-Phishing ist in aller Munde. Dort, wo Sie mit Freunden private Dinge teilen oder Geschäftskontakte knüpfen, wollen Sie sich sicher fühlen, tun es aber ganz oft nicht. Ihre Angst ist berechtigt, denn ein Phishingangriff ist schneller gestartet, als Ihnen lieb ist.

Der angebliche Teufel: target=“_blank”

Das HTML-Attribut target=_blank kann „Schuld“ sein, wenn Sie einem Phishing-Angriff zum Opfer fallen. HTML ist die Abkürzung für „Hypertext Markup Language“ und ist eine der digitalen Sprachen, mit denen zum Beispiel Internetseiten auf die Beine gestellt werden.

Das eigentlich gute target=_blank kann aber, wie alles andere im Leben, missbraucht werden. Aber gehen wir einmal der Reihe nach. Wenn Sie auf Facebook surfen und einen Link anklicken, wird dieser meistens im selben Browserfenster geöffnet. Dafür sorgt „window.opener“.

Wenn dahinter aber ein Betrüger steckt, dann sorgt er dafür, dass Sie zwar einen Link anklicken und sich dieser öffnet, aber auch gleichzeitig wird auch der Inhalt der Seite geändert – und das passiert so, dass Sie es nicht merken. Das ist auch Sinn der Sache beim Facebook-Phishing.

Und schon schnappt die Falle zu

Wenn Sie nun die geöffnete Seite schließen wollen, weil Sie beispielsweise den Artikel zu Ende gelesen haben, scheint es für Sie, als würden Sie zurück zu Facebook geleitet werden. Dem ist aber nicht so, weil sich der Inhalt während des Ladens unbemerkt geändert hat. Stattdessen werden Sie auf einen Facebook-Fake-Login geleitet, mit dem Ihre Anmeldedaten abgefangen werden sollen.

Durch diese ergaunerten Daten wird der Betrüger versuchen, auch andere Konten von Ihnen zu knacken. Die Passwortsicherheit wird überall auf der Welt noch nicht so ernst genommen, wie sie sollte. Durch Ihren FB-Account kommt der Betrüger an Ihre E-Mail-Adresse, vielleicht auch Firmendaten und wird sich so Stück für Stück weiterarbeiten. Das ist davon abhängig, was Sie dort alles hinterlegt haben und wie sicher Ihre Passwörter sind.

Facebook-Phishing-Problem ist bekannt

Es ist noch so, als wissen die Facebook-Betreiber nichts über dieses Problem. Es scheint nur so, als seien sie nicht in der Lage, Ihnen einen entsprechenden Schutz zu bieten.

Schützen müssen Sie sich also selbst. Wenn Sie einen Link anklicken und hinterher dazu aufgefordert werden, sich einzuloggen, wissen Sie, dass da ein Phishingangriff im Gange ist. Tragen Sie auf keinen Fall Ihre Daten ein. Schließen Sie stattdessen das Fenster komplett und öffnen Sie ein neues, um dann auf Facebook weiterzusurfen.

Diese Verhaltensweise sollten Sie sich unbedingt angewöhnen, denn auf einen solchen Phishingversuch mit diesem HTML-Attribut können Sie auf ziemlich jeder Seite treffen. Allerdings sind soziale Netzwerke besonders beliebt.