Achtung: Facebook-“Virus” in Umlauf

Es ist an sich nichts Besonderes: Ein Freund oder eine Freundin schickt dir auf Facebook via PN/Messenger einen Link zu einem Video.

Doch dieser Link und das vermeintliche Video dahinter haben es in sich! Das Problem ist: Diese alltägliche Selbstverständlichkeit wird auch von Betrügern ausgenutzt und somit versenden viele Nutzer ungewollt Links zu gefälschten Webseiten, die den Besuchern eine Schadsoftware unterjubeln wollen. So auch im folgenden Fall, welcher für viele Facebooknutzer mit dem Empfang einer harmlos anmutenden privaten Nachricht beginnt. Es handelt sich dabei um solche Nachrichten, die gerade unbeabsichtigt über den Messenger versendet werden:

Diese Nachricht beinhaltet einen Link, welcher gekürzt wurde, wodurch im ersten Moment nicht nachvollziehbar ist, wohin die Reise führt. Erst mit einem Klick auf diesen Link bekommt man den Ablauf zu Gesicht.
Eine Webadresse wird geladen, die sich als ein Google-Dokument entpuppt. Hier erscheint das Profilbild des Absenders der PN in Großformat mit einem klassischen Play-Pfeil, wie er bei Videos zu finden ist. Dieser Pfeil soll dazu animieren, das Bild anzuklicken und somit fortzufahren. An dieser Stelle findet sich interessanterweise noch keine Schadsoftware, auch keine Klickfalle. Das Google-Dokument dient hier lediglich als Zwischenstation.

Die Falle

Klickt man dieses vermeintliche Video an, landet man auf einer Webseite, welche YouTube nachempfunden ist. Hier finden sich die klassischen optischen Elemente der Plattform wieder. Es gibt jedoch einen kleinen Unterschied, und das ist die fatale Stelle in diesem ganzen Spiel: Klickt man das Videofenster an, um das Video abzuspielen, erscheint ein Warnhinweis. Dieser fordert den Besucher auf, eine Codec-Erweiterung zu installieren, um das Video sehen zu können.

Das ist natürlich völliger Unsinn. Auf dieser gefälschten YouTube-Seite gibt es kein Video zu sehen. Diese angebliche Codec-Erweiterung ist nichts anderes als eine Browsererweiterung für Google Chrome.

Es handelt sich in diesem Falle um eine Erweiterung mit dem Namen „Wiki it”, die keinerlei Angaben über sich selbst liefert und eine falsche Angabe über ihre Herkunft macht.

In diesem Falle wären wir wieder ganz vorne im Artikel angelangt, denn es handelt sich um exakt jene Nachricht, die man selbst auch empfangen hat. Nur ist man diesmal selbst das Opfer und das eigene Profilbild dürfte den Empfängern der Nachricht angezeigt werden.

Hilfe, ich bin betroffen!

1. Lasse deinen Rechner nach Schadsoftware durchsuchen.
2. Entferne daraufhin die schädliche Browsererweiterung und schaue auch, ob noch weitere Erweiterungen/AddOns im Browser vorhanden sind, die du nicht installiert hast bzw. die du nicht kennst.
3. Eine Browsererweiterung in Google Chrome (da dieser im aktuellen Fall betroffen ist) zu entfernen, ist kein Hexenwerk.
4. Verfahre wie folgt: Klicke auf die drei Striche rechts oben in der Ecke deines Browsers (1), dann auf „Weitere Tools“ (2) und anschließend auf „Erweiterungen“ (3)

Schon öffnet sich das Menü, in dem sich die Erweiterungen befinden. Diese bearbeitet man, indem man das Häkchen entfernt (1) oder sie löscht, indem man auf den Papierkorb (2) klickt und das Löschen nochmals bestätigt.

Ändere dein Passwort bzw. deine Passwörter. Hinweis: Passwörter bitte erst dann ändern, wenn man sich sicher ist, dass alles entfernt wurde.