Neue Facebook-Warnung vor XSS-Attacken. Quelle: CNET

Ab sofort wird die Seite eine Warnung melden, wenn ein Nutzer dabei ist, eine Seite mit Malware anzuklicken. Derzeit werden Nutzer mit Neuigkeiten in Clickjacking– und Cross-Site-Scripting-Attacken (XSS) gelockt. Aber anstatt auf eine vermeintlich interessante Nachricht zu kommen, missbrauchen die Angreifer die Accounts für den Versand von Spam.

Aktuelles Beispiel dafür ist ein Scam, bei dem es angeblich um neue Details über das iPhone 5 gehen sollte. Wer auf das Captcha-Fenster klickte, wurde sofort als Spam-Versender missbraucht. Eine andere Attacke lockte die Nutzer mit der Aufforderung ihren Facebook-Account zu verifizieren in die Falle.

Bei XSS-Attacken werden Nutzer aufgefordert, Javascript-Code in die Browserzeile zu pasten, um dann ein Video sehen zu können. In beiden Fällen sind Lecks in den Browsern verantwortlich. Derzeit liefert lediglich der Internet Explorer 9 Schutz gegen solche Angriffe. Mit anderen Herstellern sei Facebook derzeit im Gespräch, um die Fehler beheben zu können.

Bis dahin aber wird Facebook jetzt Warnhinweise einspielen, wenn bestimmte Seiten oder Code verdächtiges Verhalten an den Tag legen. Um Clickjacking zu verhindern, wird die Seite jetzt die Nutzer auffordern, das Like zu bestätigen, bevor eine Geschichte auf dem Account gepostet wird. Bei XSS-Attacken fragt Facebook nach, ob der Nutzer mit dem Vorgang einverstanden ist. Außerdem warnt Facebook, dass ein Link auch auf eine Seite mit Malware führen kann.

Neu ist auch die zwei Faktor-Authentifizierung “Login Approvals”, die, sofern sie eingestellt ist, den Nutzer auffordert, einen Code einzugeben, wenn er von einem neuen oder unbekannten Endgerät auf den Account zugreift, zum Beispiel bei Smartphones. Der Code wird dann als Text-Nachricht auf das Mobiltelefon geschickt.

Schließlich will Facebook auch mit dem freien Web of Trust-Sicherungsdienst zusammenarbeiten, um den Anwendern mehr Informationen über die aufgerufene Seite anzuzeigen. Beim Klick auf eine möglicherweise bösartige Seite, wird eine Warnung erscheinen. Die Informationen aus Web of Trust umfassen rund 31 Millionen Seiten, die jetzt die Facebook-Blacklist ergänzen.


Eine Clickjacking-Attacke, bei der Account-Informationen abgefragt werden. Die Falle lockte mit einem anzüglichen “Megan Fox”-Video. Allerdings schlug Facebook in diesem Fall keinen Alarm. Screenshot: silicon.de
Silicon-Redaktion

View Comments

  • Neues Sicherheitsfeature bei Facebook
    Sicherheit per SMS-Benachrichtigung gibt es in Deutschland leider nur für O2 Kunden.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

3 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

3 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago