Facebook führt neue Sicherheitsfunktionen ein

Immer häufiger nutzen Hacker das soziale Netzwerk für Kampagnen und Angriffe. Jetzt steuert Facebook gegen. Mit verschiedenen neuen Lösungen will Facebook jetzt die Nutzer vor Übergriffen schützen.

Neue Facebook-Warnung vor XSS-Attacken. Quelle: CNET
Neue Facebook-Warnung vor XSS-Attacken. Quelle: CNET

Ab sofort wird die Seite eine Warnung melden, wenn ein Nutzer dabei ist, eine Seite mit Malware anzuklicken. Derzeit werden Nutzer mit Neuigkeiten in Clickjacking– und Cross-Site-Scripting-Attacken (XSS) gelockt. Aber anstatt auf eine vermeintlich interessante Nachricht zu kommen, missbrauchen die Angreifer die Accounts für den Versand von Spam.

Aktuelles Beispiel dafür ist ein Scam, bei dem es angeblich um neue Details über das iPhone 5 gehen sollte. Wer auf das Captcha-Fenster klickte, wurde sofort als Spam-Versender missbraucht. Eine andere Attacke lockte die Nutzer mit der Aufforderung ihren Facebook-Account zu verifizieren in die Falle.

Bei XSS-Attacken werden Nutzer aufgefordert, Javascript-Code in die Browserzeile zu pasten, um dann ein Video sehen zu können. In beiden Fällen sind Lecks in den Browsern verantwortlich. Derzeit liefert lediglich der Internet Explorer 9 Schutz gegen solche Angriffe. Mit anderen Herstellern sei Facebook derzeit im Gespräch, um die Fehler beheben zu können.

Bis dahin aber wird Facebook jetzt Warnhinweise einspielen, wenn bestimmte Seiten oder Code verdächtiges Verhalten an den Tag legen. Um Clickjacking zu verhindern, wird die Seite jetzt die Nutzer auffordern, das Like zu bestätigen, bevor eine Geschichte auf dem Account gepostet wird. Bei XSS-Attacken fragt Facebook nach, ob der Nutzer mit dem Vorgang einverstanden ist. Außerdem warnt Facebook, dass ein Link auch auf eine Seite mit Malware führen kann.

Neu ist auch die zwei Faktor-Authentifizierung “Login Approvals”, die, sofern sie eingestellt ist, den Nutzer auffordert, einen Code einzugeben, wenn er von einem neuen oder unbekannten Endgerät auf den Account zugreift, zum Beispiel bei Smartphones. Der Code wird dann als Text-Nachricht auf das Mobiltelefon geschickt.

Schließlich will Facebook auch mit dem freien Web of Trust-Sicherungsdienst zusammenarbeiten, um den Anwendern mehr Informationen über die aufgerufene Seite anzuzeigen. Beim Klick auf eine möglicherweise bösartige Seite, wird eine Warnung erscheinen. Die Informationen aus Web of Trust umfassen rund 31 Millionen Seiten, die jetzt die Facebook-Blacklist ergänzen.

Eine Clickjacking-Attacke, bei der Account-Informationen abgefragt werden. Die Falle lockte mit einem anzüglichen
Eine Clickjacking-Attacke, bei der Account-Informationen abgefragt werden. Die Falle lockte mit einem anzüglichen “Megan Fox”-Video. Allerdings schlug Facebook in diesem Fall keinen Alarm. Screenshot: silicon.de