Im Jahre 2008 habe ich auf meinem alten Blog bereits schon einmal über das Thema “Clickjacking” geschrieben. Clickjacking bedeutet im Wortsinn, dass der Klick des Users gehijacked – also entführt – wird. In der Praxis funktioniert das so, dass eine grafische Oberfläche eine “normale” Internetseite vorgaukelt und zum Klicken auf diese einlädt. Unter dieser Oberfläche befinden sich aber Buttons oder sonstige Objekte, auf die der User arglos klickt im Glauben auf den Bereich zu klicken, den er sieht. Wer mag kann sich auf Wikipedia genauer in das Thema einlesen.
Genau dieses Prinzip macht nun auch auf Facebook die Runde. Ein “Klassiker” der seit Tagen ungewollt geliked wird ist dieses Video, auf dem zu sehen sein soll, wie Sarah Knappik angeblich ihr Top verliert. Schön offensichtlich steht auch nochmals direkt unter dem angeblichen Video: “Klicke auf das Video um den Film zu starten!”
Ich verlinke das Video bewusst nicht, um nicht noch mehr Schaden anzurichten.
Was ist passiert?
Es gibt nun zwei Möglichkeiten. Entweder das Video ist gar kein Video, sondern nur eine Grafik, die täschend echt wie ein eingebundenes Video aussieht. Durch die Möglichkeit den Like-Button in seiner Größe anzupassen, ist die komplette Grafik nur ein einziger großer Like-Button. Durch den Klick auf das Video wird die Like-Mechanik im Hintergrund ausgeführt und alle Eure Facebook-Freunde bekommen die Nachricht, dass Dir das Video gefällt.
Um die zweite noch viel perfidere Möglichkeit zu erklären wird es etwas technischer. Das iframe mit dem Like-Button liegt in einem DIV und ist über CSS nur 2 Pixel hoch und 2 Pixil breit. Über JavaScript folgt genau dieses DIV ständig der Maus. Es “hängt” quasi an Eurem Mauszeiger. Bei Klick auf Play, startet sogar das Video. Da aber der Like-Button ständig unsichtbar Eurer Maus gefolgt ist habt Ihr durch den Klick auch automatisch einen “Gefällt mir” Klick ausgelöst.
So wird jeder einzelene Play-Klick zum Like-Klick.
Aber was bringt das?
Durch die virale Mechanik von Facebook, jeden Like-Klick in Euer Profil zu posten verteilen sich die Videos quer über die Profile dieser Welt. Mal angenommen, jeder von Euch hat 100 Freunde und nur drei Freunde von jedem klicken – aufmerksam geworden durch Euren Klick – ebenfalls auf das Video potenziert sich das in unfassbare Dimensionen.
Was kann ich dagegen tun?
Man muss ja ganz ehrlich sagen: In diesem Fall ist kein großer Schaden angerichtet. Es ist vielleicht ein bisschen peinlich, dass nun Euer ganzer Freundeskreis weiß, dass Ihr Euch für das fallende Top eines Dschungelstars interessiert. 
Aber ihr habt keinen Trojaner auf dem Rechner oder ähnliche Katastrophen.
Nun ist es aber über die Anwendung von sog. Applikationen von Facebook möglich, auch auf Eure Profildaten und auch auf die Eurer Freunde zuzugreifen. Und in diesem Kontext wird die Sache dann schon beängsigend. Aktiv dagegen steuern könnt ihr in erster Linie durch Aufmerksamkeit. Schaut Euch die Seite an, auf der das Video publiziert wird. Wenn Euch gleich drei verschiedene Banner um die Ohren fliegen, die sich dazu nicht wegklicken lassen, oder sonstige halbseidene Geschichten ablaufen würde ich von einem Klick abraten.
Oder vorher nach der Überschrift des Videos googlen. Vielleicht hat jemand schon schlechte Erfahrungen mit dem Video gemacht und darüber gebloggt.
Darüberhinaus habe ich diese tolle Infografik von Mariusz Kaczmarek gefunden:
Und Facebook?
Spannend wird sein ob und wie Facebook auf diese Sache reagieren wird. Der Like-Mechanismus ist DER zentrale Bestandteil des ganzen Konzeptes und hauptverantwortlich für den derzeitges Siegeszug der Plattform. Ich gehe davon aus, man das Problem allein aus diesem Grund sehr sensibel behandeln wird.
Update vom 29.03.2011
Facebook hat hier inzwischen reagiert. Je nachdem auf welcher Seite sich der Like-Button befindet muss der Like-Klick bestätigt werden. Nach derzeitigem Stand des Features sogar zweimal. Einmal beim Button direkt und danach noch bei einem erscheinenden PopUp. Wie gesagt, trifft dies allerdings nicht auf alle Seiten zu. Offensichtlich ist es so, dass Facebook hier eine Art Vertrauensbewertung durchführt. Über die Kriterien dieser kann derzeit nur spekuliert werden. Fakt ist, dass auf großen Newsseiten wie Spiegel oder Süddeutsche diese Abfrage nicht stattfindet. Spannend dürfte nun werden ob hier eine Art Wettkampf der Seitenbetreiber um die Vertrauenswürdigkeit bei Facebook entbrennt, wie wie dies von den ersten 10 Goolge-Plätzen kennen.
Pingback: Facebook Clickjacking
Pingback: Facebook wieder sicher | NetNews24
Pingback: Social Web macht Schule Blog » Privatsphäre im Internet – Dritte Folge: Trojaner / Clickjacking