Ohne SMS-Code läuft nichts mehr auf Facebook

Wer einen Facebook-Account hat, muss sich in Acht nehmen. Das soziale Netzwerk wird immer häufiger von Spammern und Betrügern heimgesucht. Nun hat Facebook mehrere Sicherheitsfunktionen entwickelt, um die 600 Millionen Nutzer besser zu schützen. Die neuen Funktionen sind soeben auf dem offiziellen Facebook-Blog vorgestellt worden.

Passwort-Diebe haben keine Chance

Die Facebook-Nutzer können Passwort-Diebe mit einer zusätzlichen Sicherheitsstufe beim Anmeldevorgang fernhalten. Allerdings muss die Funktion in den Kontoeinstellungen von Hand aktiviert werden (siehe Bildstrecke). Facebook schützt die Konten vor nicht autorisierten Zugriffen, indem Anmeldeversuche von «ungewohnten» Geräten zuerst vom User bestätigt werden müssen. Dazu wird ein Code per SMS versendet. Ein Angreifer, der das Passwort gestohlen hat, kann sich nur einloggen, wenn er auch das Handy des Opfers in seiner Gewalt hat.

Im Gegenzug können sich autorisierte User an fremden Computern nur anmelden, wenn sie ihr Handy dabei haben. Wie die «ungewohnten» Geräte definiert beziehungsweise erkannt werden, teilt Facebook nicht mit. In den Kontoeinstellungen finden sich unter «Kontosicherheit» die gespeicherten Geräte, die Facebook bereits kennt.

Ob viele Nutzer dem Unternehmen vertrauen und ihre Handynummer bekannt geben, steht auf einem anderen Blatt. Facebook versichert, dass die Daten absolut sicher seien und nicht an Drittfirmen weitergegeben würden.

Schutz vor Clickjacking

Zu den lästigen Tricks der Facebook-Betrüger zählt das «Clickjacking». Dabei wird ein «Like»-Button hinter einem verlockenden Link versteckt. Wer unwissentlich auf das versteckte «Gefällt mir» klickt, autorisiert eine App, die anschliessend Beiträge veröffentlicht auf der Pinnwand des Nutzers und seiner Freunde. Neu verspricht Facebook, dass bekannte Clickjacking-Webseiten blockiert werden. Bei verdächtigen Vorgängen wird der User gefragt, ob er wirklich eine bestimmte Aktion durchführen will.

Schutz vor «Self-XSS»

Eine andere beliebte Masche der Betrüger ist das sogenannte «Self-XSS». Die Nutzer sollen animiert werden, JavaScript-Code in die Adresszeile ihres Browser zu kopieren. Dieser Code veranlasst den Browser, bestimmte, vom User ungewollte Aktionen durchzuführen, wie beispielsweise das Versenden von Spam-Nachrichten. Um das zu verhindern, erscheint neu jedes Mal eine Warnung, wenn von Hand Code in die Adresszeile des Browsers kopiert wird.

Partnerschaft mit Web of Trust

Zusätzlich ist Facebook eine Partnerschaft mit der in Finnland beheimateten Organisation «Web of Trust» (WOT) eingegangen. Die WOT-Community stuft Websites nach ihrer Vertrauenswürdigkeit ein. Ab sofort warnt Facebook, wenn ein Link angeklickt wird, der auf eine als unsicher eingestufte Seite führt.

Sicherheitsexperten kritisieren

Die neuen Massnahmen werden von den Sicherheitsexperten von Sophos begrüsst. Endlich sei Facebook aktiv geworden, um die Nutzer besser zu schützen, schreibt der Blog «Naked Security». Jedoch seien verschiedene grundsätzliche Probleme nicht behoben worden.

Diese (noch) nicht erfüllten Forderungen der Sicherheitsexperten sind in einem Offenen Brief an Facebook zusammengefasst. Zu den wichtigsten Punkten gehören: Schutz der Privatsphäre als Grundeinstellung, bessere Überprüfung der App-Entwickler hinsichtlich Seriosität und Sicherheit, und schliesslich verschlüsselte Verbindungen (HTTPS) als Grundeinstellung und für alle Daten-Übertragungen in Zusammenhang mit Facebook.