webconsul

Ankündigung der Einführung des Power Editor

Wir freuen uns die Einführung des Power Editor, eines neuen browserbasierten Werkzeugs zur gleichzeitigen Erstellung, Bearbeitung und Verwaltung einer Vielzahl von Werbeanzeigen, vorstellen zu können, welches den aktuellen Mengenlader ersetzen wird. Du kannst den Power Editor noch heute auf dem entsprechenden Reiter des Werbeanzeigenmanagers ausprobieren und hier in unserer schrittweisen Anleitung mehr über diese Funktion herausfinden.

Einführung von Kontogruppen

Mit Kontogruppen können Marken und Agenturen auf neue und einfachere Art ihre Werbestrategien auf Facebook verwalten. Mit ihnen kannst Du mehrere Konten zusammenfassen und auf diese gleichzeitig zugreifen, wodurch die Organisation der Konten verbessert und der Zugriff auf diese vereinfacht wird. Erfahre hier mehr darüber.

Fotomarkierungen sind jetzt für Seiten verfügbar

Facebook-Nutzer können jetzt Seiten genauso auf ihren Fotos auf Facebook markieren, wie ihre Freunde. Mithilfe von Fotomarkierungen für Seiten können Nutzer wertvollere Geschichten über die Dinge, mit denen sie in der realen Welt interagieren – wie Unternehmen und Marken – mit ihren Freunden teilen. Weitere Informationen findest Du hier.

Facebook-Fallstudie: BNL

BNL stand vor der Herausforderung Bewusstsein und Aufmerksamkeit für das Tennisturnier „Internazionali BNL d’Italia“ zu wecken. Es hat eine Facebook Seite erstellt, um eine Gemeinschaft von Tennisfans zu schaffen, und interagierte mit den Fans der Seite durch eine Reihe von Kampagnen, welche Umfragen, Videos und Wettbewerbe enthielten. Diese Bemühungen führten zu 2 Millionen organischen Impressionen, über 400 Kommentaren und mehr als 1400 täglichen Seitenaufrufen.

Heute ist scheinbar der Tag des Spams. Genauso wie im vorherigen Artikel handelt dieser über Spam, genauer Facebook Spam und eine aktuelle Kampagne mit dem Titel “Caught on Webcam”.

Einen link dazu gibt es natürlich nicht, aber die Domain ist einfacherweise mit den drei Wörter, – statt Leerzeichen unter einer .info-Domain zu erreichen.

Ruft man die Seite auf, präsentiert sich auf dem Bildschirm folgender Inhalt:

Auf den ersten Blick ist es nicht sonderlich spammy, sondern eher eine solide Altersfreigabe, da man den Inhalt ja vor jungen Augen schützen muss. Der geneigte Surfer wird sich dann gleich auf den “Verify”-Button stürzen um an den Inhalt zu kommen, wegen dem er ja gekommen ist.

Aber Vorsicht, denn genau hier lauert die Gefahr bzw. der Trick:

In obigem Screenshot habe ich mit Firebug den Facebook-Like-Button aka “Gefällt mir” sichtbar gemacht.
Würde man sich also zielstrebig auf den Verify-Button stürzen, merkt man lediglich in seinem Profil, dass man eine doch eher unliebsame Seite “mag”.

Dies ist die bisher ausgefeilteste Taktik, die ich bei bisherigen Facebook-Clickjacking-Seiten gefunden habe. Wie ich damals geschrieben hatte, ist mittlerweile ein alter Hut.

Geschickt in diesem Beispiel ist auch, dass von der Startseite aus, eine weitere Datei vom Server geladen wird, die main.php. Ein Aufruf selbiger gibt nur die Meldung mit einem Link zur Startseite aus. Scheinbar will da jemand nicht, dass man direkt an den Quellcode kommt (weswegen auch der Rechts-Klick mit einem Alert-Fenster überschrieben wurde).

Der Button wird mit folgendem Code eingebunden und positioniert:
<div z-index:12; id="verify-button">                                    
  <div style="z-index:2; filter:alpha(opacity=0); -moz-opacity:0.0; -khtml-opacity: 0.0;opacity: 0.0;">
    <iframe src="http://www.facebook.com/plugins/like.php?href=caught-on-webcam.info%2F&layout=button_count&show_faces=true&width=450&action=like&colorscheme=light&height=21" allowTransparency="true"></iframe>
  </div>
  <div style="z-index:1;"><img src="http://i53.tinypic.com/dm6wjk.gif" ></div>      
  <div style="z-index:3;"><img onclick="share()" style="cursor:pointer" src="http://i54.tinypic.com/2ue4qy9.gif" ></div>
</div>

Die hervorgehobenen Stellen im obigen HTML-Code dienen allesamt zum Versteck und Positionierung des Like-iframes. Aus Lesbarkeitsgründen habe ich Angaben die Höhe, Breite, Umrandung und Co weggelassen.
Neben den unterschiedlichen CSS-Attributen opacity und filter:alpha und dem allowTransparency=”true” wird über eine geschickte Nutzung des z-index der “Verify”-Button in den Hintergrund (z-index: 1), der iframe darüber (z-index: 2) und darüber der valide (z-index: 3) “Share”-Button gelegt.
So dient alles seinem Zweck und der Nutzer klickt entweder auf “Gefällt mir” oder auf “Share” und der Spammer hat sein Ziel erreicht.

Das Wichtige an obigem Beispiel ist aber, dass die Seite wie eine App gestaltet ist und man eben über an die main.php nicht direkt herankommt.
Was ich mir gut vorstellen kann oder ich selbst machen würde ist, dass man mit

if($_SERVER["HTTP_REFERER"] == 'http://www.myspammysite.info/') {
  // clickjacking content
} else {
  // good content
}

den direkten Aufruf unterbindet und somit eine eingehendere Analyse vermeidet. Wird dies noch mit einer IP-Blacklist erweitert, die den internen Adressen des Facebook-Unternehmens entspricht, dann kann auch niemand verdacht schöpfen.
Bis zum Schrieb dieses Artikel konnten so knapp 65.000 (genauer 65,975) Besucher veräppelt werden.

Dies ist gerade mal wieder eine schöne Attacke die unter dem Radar fliegt. Viele von diesen geschickt ausgearbeitet und noch ein wenig modifiziert und man kann ein ziemlich großes Netzwerk damit aufbauen, ohne, dass irgendjemand etwas davon mitbekommt

Wie immer dient dieser Post als Proof-Of-Concept und sollte natürlich nicht nachgemacht werden.

Das Archiv der Originaldateien könnt ihr hier herunterladen: caught-on-webcam.info-Dateien (sowohl die index.html als auch eingebunde main.php)

===DISCLAIMER===
Dieser Beitrag ist definitiv in die Kategorie Blackhat und damit in Deutschland als nicht nutzbar einzustufen.
Bitte haltet euch daran und respektiert, dass der Release des Codes nur als Proof of Concept dient und so keinesfalls genutzt werden darf und soll.
Wer dies macht, macht es auf eigene Gefahr und macht sich unter Umständen strafbar.
===/DISCLAIMER===

Genug der mahnenden Worte.
Heute geht es in einem einfachen aber effektiven Beispiel darum, wie ich Kontrolle über den Like-Button auf Facebook bekomme.
Damit könntet ihr eure Social Media Optimierung auf eure Links einfach durchführen, denn jeder Websitebesucher mag euch automatisch und teilt dies dann auch freudig allen seinen Freunden mit. Ob er mag oder nicht.

Als was man diese Methode genau bezeichnet weiß ich nicht, ist an dieser Stelle auch egal, denn es soll ja sowieso nicht gemacht werden. Man könnte es als Clickjacking bezeichnen.

Und zwar kommt der Nutzer auf eine Seite und es wird ein kleines Skript geladen, welches sich an seinen Mauszeiger hängt und bei einem Klickevent eben auf den Button drückt.
Klingt simpel, ist es auch:
Facebook Like Button Hijack
Das Skript gibt es als Archiv zum Download hier: fb-hijack-direct

Das funktioniert ganz einfach, da in der JavaScript-Datei eine HTML-Division erzeugt wird, mit folgendem Inhalt:
<iframe id="ifra" src="http://www.facebook.com/plugins/like.php?href=http%3A%2F%2Fwww.google.de/&layout=standard&show-faces=true&width=650&action=like&colorscheme=light" scrolling=no frameborder=0 width="30px" height="25px" style="opacity:.0;filter: alpha(opacity=0); -moz-opacity: 0.0;"></iframe>
Damit wäre die zu mögende Adresse http://www.google.de/.
Zu bermerken ist hierbei, dass der CSS-Style das ganze unsichtbar macht.

Wenn Du das Skript auf genau der Seite nutzt, dessen URL gehypt werden soll, dann funktioniert es. Denn der iframe sendet an Facebook den richtigen Referer, sodass auch so mancher Sicherheitscheck umgangen werden kann.

Der Hook document.onmousemove=followmouse erledigt dann den Rest, denn die Funktion followmouse nimmt jeweils die aktuelle Position des Mauszeigers, korrigiert dann die Position des obigen divs mit dem enthaltenen iframe, sodass sich der Zeiger immer über der jeweiligen Klickposition, dem Like-Button, befindet.

In Anlehnung an meinen Post damals zur effektiven Steigerung der Conversion Rate mittels Browserhistory kann man dieses Beispiel natürlich auch noch aufwerten und vorher überprüfen, ob der User überhaupt schonmal auf Facebook war und sich dort gegebenfalls schon eingeloggt hat.
Das Beispiel dazu gibt es in diesem Archiv als Download:
fb-hijack-visited

UPDATE: Genutzt wird das aktuell über diverse Tattoo oder ähnliche Seiten!

Also lasst euch nochmals sagen, dass ihr das auf keinen Fall nutzen sollt.
Und wenn ihr das doch macht, dann seid ihr böse Buben!
Diesen Jungs dürfte das gefallen.