{"id":199128,"date":"2017-12-31T00:10:00","date_gmt":"2017-12-30T23:10:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=199128"},"modified":"2019-06-13T10:13:43","modified_gmt":"2019-06-13T08:13:43","slug":"kommt-facebook-security-mit-eigenem-virenscanner","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/31\/kommt-facebook-security-mit-eigenem-virenscanner\/","title":{"rendered":"Facebook Security mit eigenem Virenscanner"},"content":{"rendered":"

[English]Das soziale Netzwerk Facebook benutzt einen eigenen Ansatz, um infizierte Nutzersysteme zu erkennen und einen Online-Virenscanner von ESET laufen zu lassen. Als Facebook-Nutzer kann man sich dem nicht entziehen. Das ist nicht wirklich neu, war mir aber unbekannt. Hier die Informationen, die mir bisher vorliegen.<\/p>\n

<\/p>\n

\"\"Ich muss gestehen, das Thema ist mir noch so nicht untergekommen, obwohl es bereits seit 2014 existiert. M\u00f6glicherweise kennt ihr das Thema, dann ignoriert den Beitrag einfach. Ich stelle es hier im Blog trotzdem mal ein. Vielleicht wird der eine oder andere Blog-Leser mit so etwas konfrontiert und kennt dann zumindest den Hintergrund, falls es bei ihm auftaucht.<\/p>\n

Facebook Security warnt vor Infektionen<\/h2>\n

Ich bin durch einen Administrator-Post<\/a> in einer Facebook-Gruppe zum Thema Sicherheit auf den Sachverhalt aufmerksam geworden. Der Administrator schrieb: <\/p>\n

\n

Facebook Security hat da wohl was neues Entwickelt.
Hat mich heute morgen echt \u00fcberrascht. <\/p>\n

Kam auf einmal ne Nachricht, dass Facebook Informiert worden sei, dass mein Ger\u00e4t m\u00f6glicherweise infiziert ist.<\/p>\n

Dadurch haben sie mein Zugang auf read-only gesetzt.<\/p>\n

Als Beschreibung kam, dass das wegen den ganzen Links sein kann, die \u00fcber Facebook kamen.<\/p>\n<\/blockquote>\n

Im Klartext: Der Administrator erhielt eine Benachrichtigung, dass sein Client m\u00f6glicherweise infiziert sei und der Facebook-Zugang der Person wurde auf Nur-lesen gesetzt. Das hei\u00dft, der Betreffende konnte erst einmal nichts bei Facebook posten. Diese Benachrichtigung sieht folgenderma\u00dfen aus:<\/p>\n

\"Facebook<\/p>\n

Alter Schnee, mir aber nicht bekannt<\/h2>\n

An dieser Stelle habe ich im Internet gesucht, aber nicht sofort wirklich was gefunden. Bei Giga gibt es diesen Artikel<\/a>, der sich mit dem Thema Betrug und Sicherheits-Check befasst. Dort wird vor einer Fake-Benachrichtigung gewarnt. Auch hier<\/a> wird vor Betrug in diesem Zusammenhang gewarnt und auf eine offizielle Facebook-Seite verwiesen. Einige Informationen finden sich auch auf dieser Facebook-Seite<\/a>.<\/p>\n

Auf Facebook\/Security<\/a> wird mit Datum vom 20. Dezember 2017 auf eine Neuerung in der Facebook-App hingewiesen. Dort gibt es wohl eine Benachrichtigung, welche Mails von Facebook stammen. Aber zu Facebooks Virenscan gab es bei meiner ersten Suche nichts.<\/p>\n

Erst als ich konkret nach Facebook und ESET gesucht habe, wurden verschiedene Treffer gefunden. Gem\u00e4\u00df diesem Facebook-Beitrag<\/a> ist die Funktion wohl seit 2014 verf\u00fcgbar, wird aber nur bei tats\u00e4chlichen oder vermeintlichen Infektionen aktiv. Und (gel\u00f6scht) gibt es \u00e4hnliche Informationen \u2013 also nicht wirklich neu.<\/p>\n

Weitere Ausf\u00fchrungen des Gruppen-Administrators<\/h2>\n

Der eingangs zitierte Gruppen-Administrator hat dann noch einige interessante Ausf\u00fchrungen gepostet, die ich mal wiedergebe. Unter anderem wurde ihm ein Download angeboten:<\/p>\n

\"Facebook <\/p>\n

Bei so etwas h\u00e4tten bei mir sofort alle Alarmglocken gel\u00e4utet. Da k\u00f6nnte einem ja Malware untergeschoben werden. Das Szenario hat was von einem klassischen Phishing-Ansatz oder einer Malware-Kampagne. Der Betroffene schreibt weiter:<\/p>\n

\n

Dachte mir, l\u00e4dst du runter, hat sich bestimmt bei mir ein Virus reingesetzt der facebook.com umrouted.<\/p>\n

Habe dann die Dateien analysiert und was finde ich da? Die Signatur wurde mit dem Code Signing EV(!) Zertifikat von Facebook durchgef\u00fchrt. An ein EV Zertifikat kommt man nur sehr schwer.<\/p>\n

\"Zertifikat<\/p>\n

Habe dann das Programm nun ausgef\u00fchrt und wolla, steht da ESET Facebook Scanner, signiert von Eset (auch g\u00fcltig).<\/p>\n

\"ESET<\/p>\n

Dann verschwand das Programm in Hintergrund und ich konnte auf meiner www.facebook[.]com Seite den Scan verfolgen.<\/p>\n

\"Facbook<\/p>\n<\/blockquote>\n

\n

Ich finde die Idee nicht wirklich schlecht, aber auch nicht so gut, dass Facebook mit Admin Rechten den Rechner scannt.<\/p>\n<\/blockquote>\n

\"Log-Datei\"<\/a> <\/p>\n

Der Benutzer f\u00fchrt aus, dass Malwarebytes und Defender nichts von einer Infektion feststellen k\u00f6nnen. Dem Hinweis schlie\u00dfe ich mich an. <\/p>\n

Wenn es schief l\u00e4uft \u2026<\/h2>\n<\/p>\n

Der Ansatz ist m\u00f6glicherweise gut gedacht, aber eine Fremdsoftware als Administrator unter Windows ausf\u00fchren zu m\u00fcssen, hat schon was (siehe vorherigen Absatz). Aber es kommt noch krasser. Als Facebook-Nutzer kommt man an einem Scan nicht vorbei, wenn Facebook (auf Grund von Aktivit\u00e4ten im Konto, siehe<\/a>) glaubt, eine Infektion erkannt zu haben. <\/p>\n

\"Facebook-Scan\"<\/p>\n

Der Betroffene erh\u00e4lt die obige Benachrichtigung und kann nur noch lesen. Der Read-Mode f\u00fcr den Facebook-Zugang wird nur aufgehoben, nachdem man den Scan auf der Maschine durchgef\u00fchrt hat. Das f\u00fchrt mitunter zu skurrilen oder nervigen Situationen. So gibt es (gel\u00f6scht), die jeden Anmeldevorgang mit einem Scan begleiten m\u00fcssen. <\/p>\n

Und noch skurriler: Hier beschwert<\/a> sich ein Nutzer, das er sich problemlos an Facebook anmelden kann. Verwendet sein Vater das eigene Windows-Konto zur Anmeldung an Facebook, kommt st\u00e4ndig die Scan-Aufforderung. Hier ist die L\u00f6sung einfach \u2013 der Verdacht auf Malware scheint in einem Cookie gespeichert zu sein. Das L\u00f6schen der Browser-Historie samt Cookies scheint solche Probleme zu beheben.<\/p>\n

Ob dieser Scan nur f\u00fcr Windows bereitsteht, oder auch f\u00fcr andere Betriebssysteme m\u00f6glich ist, entzieht sich meiner Kenntnis.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das soziale Netzwerk Facebook benutzt einen eigenen Ansatz, um infizierte Nutzersysteme zu erkennen und einen Online-Virenscanner von ESET laufen zu lassen. Als Facebook-Nutzer kann man sich dem nicht entziehen. Das ist nicht wirklich neu, war mir aber unbekannt. Hier die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5070,426,161],"tags":[1199,4313],"class_list":["post-199128","post","type-post","status-publish","format-standard","hentry","category-facebook","category-sicherheit","category-virenschutz","tag-facebook","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199128","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=199128"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199128\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=199128"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=199128"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=199128"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}