Ganz aktuell hat uns die Warnung vor einem auf Facebook geteilten Video Fake erreicht. Im türkischen Begleittext zum vermeintlichen Video Link wird (wenn wir richtig übersetzt haben) mitgeteilt, dass man sich hier ein Video von getöteten PKK Terroristen anschauen kann. Öffnet man den Link, wird man auf eine externe Seite umgeleitet. Hier sieht man dann ein für solche Video Fakes schon als typisch zu bezeichnendes Vorschaubild, das einen Player nachahmt. Außerdem noch Werbung für den Flash Player 10.1.
So in etwa schaut der entsprechende Post aus:
Öffnet man den Link, wird man auf eine externe Seite umgeleitet.
Hier sieht man dann ein für solche Video Fakes schon als typisch zu bezeichnendes Vorschaubild, das einen Player nachahmt.
Außerdem noch Werbung für den Flash Player 10.1.
Wird nun das vermeintliche Video angeklickt, startet ein im Quelltext der Seite verstecktes Script. Dieses Script ahmt eine Meldung vom Browser nach und bittet auf Türkisch darum, dass man den Flash Player installiert bzw. updatet. Durch ein eingebautes Google Web Store Logo soll zusätzlich noch Vertrauen aufgebaut werden.
Hier sieht man zwei Fenster. Das kleinere wird anhand eines versteckten Scripts eingeblendet und kommt trotz Logo NICHT von Google. Das größere mit dem gelben Rahmen hingegen kommt wirklich vom Browser und zeigt, was die Erweiterung die dort installiert werden soll, kann und darf.
Klickt man im unteren Fenster auf „Hinzufügen“, wird der Google Web Store aufgerufen und die entsprechende Erweiterung angezeigt. Ein weiterer Klick in diesem Fenster auf „Hinzufügen“ installiert die Browsererweiterung.
Die fertig installierte Erweiterung im Browser:
Einem erfahrenen Nutzer sollte hier auffallen, dass die Erweiterung den Namen „Flash Player 4.5“ trägt, aber selbst die Versionsnummer „5.3“ hat. Auf jeden Fall nochmals ein guter Hinweis, wenn man nicht vorher schon stutzig geworden ist.
In dem Moment, in dem die Installation der Erweiterung abgeschlossen wird, lädt der Browser automatisch zwei neue Tabs.
Einmal die aktuelle Facebook Sitzung und einmal Google.
Unbemerkt vom Nutzer wurde im selben Moment das Ursprungsposting mit einem türkischen Standardtext (in etwa: Dieses Video unbedingt ansehen) kommentiert und geteilt. Eventuell werden noch Likes vorgenommen, dies konnten wir unter unseren Testbedingungen aber nicht nachvollziehen.
Die nähere Analyse der Erweiterung zeigt, dass sie auch Kontakt zu einem weiteren Sever und zu unterschiedlichen Google Diensten aufbaut. Was genau dort aber noch an Aktionen durchgeführt werden, konnten wir bisher nicht genau feststellen.
Wieder einmal:
Vorsicht bei Browsererweiterungen aus unbekannten Quellen.
Jede Browsererweiterung kann sehen, was ihr in eurem Browser seht.
Jeder Browsererweiterung kann Aktionen in eurem Namen durchführen.
Unterstütze jetzt Mimikama – Für Wahrheit und Demokratie! Gründlicher Recherchen und das Bekämpfen von Falschinformationen sind heute wichtiger für unsere Demokratie als jemals zuvor. Unsere Inhalte sind frei zugänglich, weil jeder das Recht auf verlässliche Informationen hat. Unterstützen Sie Mimikama
Mehr von Mimikama
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)