Facebook-Messenger: „YouTube”- Video führt zu Schadsoftware!

Es ist an sich nichts Besonderes: Ein Freund oder eine Freundin schickt dir auf Facebook via PN/Messenger einen Link zu einem Video. Doch dieser Link und das vermeintliche Video dahinter haben es in sich!

Das Problem ist: Diese alltägliche Selbsverständlichkeit wird auch von Betrügern ausgenutzt und somit versenden viele Nutzer ungewollt Links zu gefälschten Webseiten, die den Besuchern eine Schadsoftware unterjubeln wollen. So auch im folgenden Fall, welcher für viele Facebooknutzer mit dem Empfanng einer harmlos anmutenden privaten Nachricht beginnt.
Diese Nachricht beinhaltet einen Link, welcher gekürzt wurde, wodurch im ersten Moment nicht nachvollziehbar ist, wohin die Reise führt. Erst mit einem Klick auf diesen Link bekommt man den Ablauf zu Gesicht.
Eine Webadresse wird geladen, die sich als ein Google-Dokument entpuppt. Hier erscheint das Profilbild des Absenders der PN in Großformat mit einem klassischen Play-Pfeil, wie er bei Videos zu finden ist. Dieser Pfeil soll dazu animieren, das Bild anzuklicken und somit fortzufahren. An dieser Stelle findet sich interessanterweise noch keine Schadsoftware, auch keine Klickfalle. Das Google-Dokument dient hier lediglich als Zwischenstation.
Diese Zwischenstation dürfte eingerichtet worden sein, damit Facebook den verkürzten Link nicht als schädlich erkennt und somit direkt entfernt. Für Facebook ist es schlichtweg ein Link zu einem Google-Dokument und auf diese Weise dürfte er auch gewertet werden.

Die Falle

Klickt man dieses vermeintliche Video an, landet man auf einer Webseite, welche YouTube nachempfunden ist. Hier finden sich die klassischen optischen Elemente der Plattform wieder. Es gibt jedoch einen kleinen Unterschied, und das ist die fatale Stelle in diesem ganzen Spiel: Klickt man das Videofenster an, um das Video abzuspielen, erscheint ein Warnhinweis. Dieser fordert den Besucher auf, eine Codec-Erweiterung zu installieren, um das Video sehen zu können.

Das ist natürlich völliger Unsinn. Auf dieser gefälschten YouTube-Seite gibt es kein Video zu sehen. Diese angebliche Codec-Erweiterung ist nichts anderes als eine Browsererweiterung für Google Chrome. Es handelt sich dabei um eine Erweiterung mit dem Namen „Denei”, die keinerlei Angaben über sich selbst liefert und eine falsche Angabe über ihre Herkunft macht.
Bitte auf gar keinen Fall diese Erweiterung installieren! Es handelt sich hierbei nicht um einen Video-Codec. Man kann davon ausgehen, dass diese Erweiterung, sobald installiert, auf das eigene Facebookprofil zugreift und dort selbständig Statusmeldungen verfasst und/oder private Nachrichten versendet, ohne dass man es selbst bemerkt.

In diesem Falle wären wir wieder ganz vorne im Artikel angelangt, denn es handelt sich um exakt jene Nachricht, die man selbst auch empfangen hat. Nur ist man diesmal selbst das Opfer und das eigene Profilbild dürfte den Empfängern der Nachricht angezeigt werden.

Hilfe, ich bin betroffen!

Lasse deinen Rechner nach Schadsoftware durchsuchen. Entferne daraufhin die schädliche Browsererweiterung und schaue auch, ob noch weitere Erweiterungen/AddOns im Browser vorhanden sind, die du nicht installiert hast bzw. die du nicht kennst. Eine Browsererweiterung in Google Chrome (da dieser im aktuellen Fall betroffen ist) zu entfernen, ist kein Hexenwerk. Verfahre wie folgt: Klicke auf die drei Striche rechts oben in der Ecke deines Browsers (1), dann auf „Weitere Tools“ (2) und anschließend auf „Erweiterungen“ (3)

Schon öffnet sich das Menü, in dem sich die Erweiterungen befinden. Diese bearbeitet man, indem man das Häkchen entfernt (1) oder sie löscht, indem man auf den Papierkorb (2) klickt und das Löschen nochmals bestätigt.

Ändere dein Passwort bzw. deine Passwörter. Hinweis: Passwörter bitte erst dann ändern, wenn man sich sicher ist, dass alles entfernt wurde.