Vorsicht, Falle: Facebooks neuer Like-Button als Spam-Schleuder

Der Journalist und Blogger André Vatter beschreibt in seinem Blog, wie der Trick funktioniert. Hintergrund dazu: Facebook hat die Funktionalität des „Like“-Buttons vorherige Woche entscheidend geändert. Mit nur einem Klick darauf postet man nun einen vollständigen Eintrag auf seine eigene Facebook-Wall – meistens inklusive Bild und Beschreibungstext. Früher erzeugte der „Like“-Button nur eine Randnotiz auf der Wall und für größere Einträge war der „Share“-Button zuständig, bei dem man allerdings vor Veröffentlichung manuell auswählen konnte und musste, was man in seinem Profil veröffentlicht.
Aus Facebooks Sicht ist der Schritt logisch: Durch die neue Funktionalität wird der „Like“-Button nun zum besonders simplen Sharing-Tool und erhöht den Wert der Inhalte im Social Network. Allerdings ruft das (natürlich) auch Menschen auf den Plan, die das auszunutzen wissen.
So funktioniert der Spam-Trick

Wer dieses Video starten will, klickt in Wirklichkeit auf einen versteckten „Like“-Button und veröffentlicht sofort auf seinem Facebook-Profil einen entsprechenden Eintrag.
Der aktuell grassierende Trick: Die Funktion des „Like“-Buttons wird auf ein anderes klickbares Element der Website gelegt. Ein Beispiel ist ein YouTube-Video, das einen beliebigen interessanten Inhalt verspricht. Klickt der Nutzer auf das Video um es zu starten, klickt er unwissentlich einen unsichtbaren „Like“-Button, der wie beschrieben sofort einen kompletten Eintrag auf dem eigenen Facebook-Profil hinterlässt. Dazu muss man lediglich bei Facebook eingeloggt sein, aber ich kenne ehrlich gesagt kaum jemanden, der sich jemals bei Facebook abmeldet… Dieser Eintrag verweist dann wiederum auf das Fake-Video, wodurch die eigenen Kontakte auf Facebook ebenfalls in die Falle rennen und immer so weiter.
Wer sich ein Beispiel ansehen möchte, findet es auf www.thenextbigx.com. Einfach bei Facebook abmelden, auf die Seite gehen und auf das Video klicken. Sofort geht ein Fenster von Facebook auf, man möge sich doch bitte anmelden. Für einen eingeloggten Nutzer wäre nun schon alles passiert – ohne jede Rückmeldung.
Weitere Quellen und Informationen zum Thema:
- Perfider Facebook-Spam: Ohne Umwege in die “Gefällt mir”-Falle (‘Likejacking’) – avatter.de
- Facebook macht den „Like“-Button zum „Share“-Button – t3n News, 28.02.2011
Bildnachweis für die Newsübersicht: Foto von freezelight auf Flickr. Lizenz: CC BY
Hier mein Demo-Video zu dem „Trick“: http://www.youtube.com/watch?v=JFGM502K9ik und hier der Beitrag in meinem Blog: http://www.einfach-fuchs.de/facebook-like-spam
Als Schutz davor kann ich das Firefox Plugin NoScript empfehlen, das diese Methode ihm als potentieller Clickjacking-Angriff / UI-Umadressierung bekannt ist. Somit wird man auf eine evtl. gefahr hingewiesen und sollte die Seite dann schleunigst schließen.
@Theo: Vielen Dank für die Ergänzung!
Vielen Dank für die Info, ich bin natürlich auch schon in die Falle gegangen. Ich könnte meinen automatisch erstellen Beitrag (meine Weiterempfehlung des Videos auf meiner Pinnwand) zum Glück wieder löschen. Doch ein Problem bleibt. Durch meinen Klick habe ich das Video nicht nur empfohlen, ich bin auch „Fan“ der dubiosen Seite geworden. Wie kann ich diesen Schritt rückgängig machen?
Der Artikel beschreibt die Methode ganz gut, nur die Anzahl wird falsch angenommen. Nicht der sichtbare Like-Knopf (wie im Screen) wird geklickt, sonden ein unsichtbarer. Und dessen Zähler ist nicht wie hier bei rund 700, sondern wenn ich von vergleichbaren Seiten schätzen kann, dann wohl bei rund 40.000 (!)
Eine genaue Analyse und Berechnung ist hier für deutsche Seiten gemacht worden: Likejacking analysiert. Eine Hochrechnung des Umsatzes pro Seite folgt morgen morgen mit noch erschreckenderen Zahlen.
@Roland: Okay, danke für den Hinweis. Ich habe die Bildunterschrift einmal entsprechend geändert.
Den versteckten Like-Button findet man unter folgender URL: http://www.thenextbigx.com/fbLike.html (kann gefahrlos geöffnet werden)
Aktueller Zählerstand: 50,864 likes…
So ein Fake ist mir glatt auch passiert und habe den Like dann wieder entfernen müssen :-(
Mein Pingback von http://0511web.de/2011/03/09/facebook-likes-video-spam-wie-erkenne-ich/ ist leider nicht zu Euch durchgedrungen … könnt Ihr mal bitte schauen? Über eine kurze Nachricht, ob er gar nicht oder im Spam (welches Filter-Tool?) gelandet ist, freue ich mich (E-Mail habt Ihr ja). Möchte endlich dahinter kommen, warum mein WP-Blog manchmal perfekt funktioniert und manchmal vollends spinnt. LG an Euch + Danke!
Weiss denn jemand, wie man sich wieder von dieser Seite abmelden kann ? Ich bin jetzt leider Fan :( und finde keine Möglichkeit, das rückgängig zu machen!
Geiler Trick!