Facebook Phishing - Account gesperrt

Facebook Phishing

Wer sich in letzter Zeit auf Facebook anmelden wollte und seine Kartennummer eingeben musste ist definitiv einem sogenannten Phishing-Versuch zum Opfer gefallen. Ein Screenshot davon sieht man rechts im Bild. Der Grund ist angeblich Spamming - normal müsste jetzt ein kleines Prüfbildchen (Captcha) kommen, eine Kartennummer braucht dazu niemand, auch Facebook nicht Also auf keinen Fall richtige Daten eingeben, diese werden nämlich von einem Dritten gespeichert, dazu später mehr. Scrollt man nach unten sieht man übrigens die normale Seite, das Fake-Formular wurde einfach oben angeheftet (per <div>-Container).

Fake Google Error

Möchte man jetzt den Internet-Explorer neu installieren stellt man fest, dass alle Microsoft-Seiten durch ein Google-Error Bild ersetzt wurden. Ihr Browser wurde also schonmal mit dem Virus infiziert, vielmehr alle, da bei mir auch mit z.B. Firefox die entsprechenden Seiten kamen. Um dem entgegenzuwirken werde ich jetzt einige Virenscanner darüber laufen lassen (z.B. Malwarebytes' Anti-Malware o. Microsoft Security Essentials), man wird sehen, was diese finden und diesen Artikel dann entsprechend ergänzen.

Malwarebytes' war in Aktion und hat den Virus erfolgreich entfernen können : Anti-Malware LOG. Von der Facebook-Meldung und der Google-Error-Seite ist keine Spur mehr zu finden - Passwortänderungen sind trotzdem zu empfehlen.

Fake Nachweis

Wer Firefox benutzt und sich mal mit FireBug den "Weiter"-Button anschaut wird auf die SaveData1();-Funktion stoßen, die eine unglaublich kreativ benannte und vertrauenserweckende Seite aufruft : https://salesroma.com/ccs/js/facebook-fake.php Nach dem Ausfüllen des Formulares komme ich als Benutzer nicht weiter, die Daten werden nur gespeichert.

Hier einige Dateien auf die ich gestoßen bin - würde mich freuen, wenn jemand den JS-Code knackt (sofern möglich) :

Warum ich das zeige ? Ich möchte auf diesen Fake aufmerksam machen und verhindern, dass sich der Virus verbreitet.

Letztes Update : 26.07.2012, 15:00 Uhr - Virus erkannt, von Malwarebytes' Anti-Malware gelöscht - JS-Datei veröffentlicht