Im Social Network Facebook tauchen immer wieder Applikationen auf, die exklusive Funktionen versprechen. Beispiele dafür sind Apps, die angeblich eine „Gefällt mir nicht“-Schaltfläche integrieren oder anzeigen, welche Facebook-Nutzer das eigne Profil besucht haben. Vor allem letztere hat einen cleveren Weg gefunden, sich weiter zu verbreiten und die Anti-Spam-Maßnahmen von Facebook zu umgehen: Sie nutzt einfach die Nutzer, um ständig neue Apps zu erstellen (TecChannel berichtete).
Die meisten dieser Applikationen sind nach der Installation komplett verschwunden, die versprochenen Funktionen werden nicht integriert - oder sie werden durch völlig sinnlose, zufällig erstellten Daten vorgegaukelt. Die Ersteller der Applikationen haben nur ein Ziel: Der Nutzer soll den Zugriff auf das eigene Profil autorisieren. Denn ist dieser Zugang erst einmal frei gegeben, können die Hintermänner umfangreiche Profile anlegen - und das nahezu automatisch.
Das Zauberwort für die Spammer lautet „Extended Permissions“. Diese Sicherheitsfunktion wurde von Facebook eigentlich eingeführt, um den Missbrauch zu stoppen. Nutzer müssen einer Applikation explizit den Zugriff auf folgende Funktionen erlauben:
-
News-Stream einsehen und neue Updates in diesem Stream eintragen
-
Auf den Stream zugreifen und die Inhalte aufbereiten und anzeigen
-
Erlaubnis, dem Nutzer E-Mails zu schicken - und so auch Zugriff auf die echte E-Mail-Adresse des Nutzers erhalten
-
Zugriff auf die privaten Nachrichten des Nutzers
-
Offline-Zugriff, das bedeutet Zugang zum Nutzerprofil, auch wenn dieser nicht angemeldet ist
-
Neuen Kalendereintrag erstellen
-
An bestehendem Kalender-Event teilnehmen
-
Zugriff auf die SMS-Funktionen und damit eventuell hinterlegte Mobilfunknummern
-
Erlaubnis, Status Updates im Stream des Nutzers zu veröffentlichen
-
Erlaubnis, Photos auf die Homepage des Nutzers zu laden
-
Erlaubnis, Videos auf die Homepage des Nutzers zu laden
-
Möglichkeit, neue Notizen zu erstellen, zu verändern oder zu löschen
-
Erlaubnis, Links zu anderen Seiten im Status-Stream des Nutzers zu veröffentlichen
Daneben haben Applikationen standardmäßig Zugriff auf zahlreiche weitere Profilinformationen. Dazu gehören etwa Name, Alter, Wohnort, Hobbys, religiöse Ansichten, Beziehungsstatus, eine Liste sämtlicher Freunde, Heimatort, Informationen zu Schule, Ausbildung sowie vorheriger und aktueller Beschäftigungen oder das Geschlecht. Außerdem sehen die Applikationen sämtliche öffentliche Profilinformationen.
Diese Liste zeigen, warum sich Spammer so sehr für diese Daten interessieren. Selten war es für die Versender von unerwünschter Werbung so einfach, hochqualifizierte Adressen zu sammeln und zusammenzuführen. Selbst wenn nur ein Bruchteil der Nutzer die manipulierte Applikation installiert, bei 400 Millionen Mitgliedern weltweit ist das immer noch eine ansehnliche Anzahl.
So können Sie sich schützen
Man muss dem Facebook-Team zugutehalten, das seit dem Beginn des Social Networks zahlreiche Sicherheitsfunktionen integriert wurden. Das Problem sind hier, wie auch bei vielen anderen Sicherheits-Themen, die Nutzer vor dem Bildschirm. Werden sie durch Social-Engineering-Techniken (wie etwa neue, exklusive oder fehlende Funktionen) zu einer Applikation gelockt, bestätigen sie oftmals jeden Warnhinweis und jede andere Sicherheitsabfrage.
Um Ihr Profil und Ihre Daten zu schützen, können Sie dennoch einige Ratschläge beherzigen:
-
Prüfen Sie neue Applikationen, die scheinbar fantastische Funktionen (Dislike-Button, Besucheranzeige) versprechen. Solange Facebook diese Funktionen nicht offiziell zur Verfügung stellt, handelt es sich wahrscheinlich um bösartige Apps.
-
Achten Sie darauf, wenn Sie installierte Apps dazu auffordern, neue Anwendungen zu erstellen.
-
Prüfen Sie regelmäßig in Ihren Einstellungen, welche Applikationen installiert sind und welche Berechtigungen diese haben.
-
Nutzen Sie Sicherheitstools wie etwa Defensio, um Ihren Account vor Spam zu schützen.
-
Klicken Sie nicht auf Einladungen, die Ihnen Kontakte und Freunde ungefragt zuschicken. Fragen Sie notfalls bei Ihren Freunden nach, ob Sie diese Nachricht auch wirklich selbst abgeschickt haben.
Als weitere Schutzmaßnahme sollten Sie Ihr Profil so privat wie möglich machen. In unserem Workshop „Facebook - So schützen Sie Ihre Privatsphäre“ zeigen wir Ihnen, mit welchen Einstellungen Sie Ihre Daten vor allzu neugierigem Zugriff schützen - sei es Applikation oder Arbeitskollege. (mja)