Liebes Forum,

ich bin gestern leider in eine Falle getappt. Ich habe über das Facebook-Profil eines alten Bekannten eine dieser fragwürdigen Spam-Nachrichten bekommen, worin lediglich ein vermeintliches Video-Bild mit dem 'Play'-Button angezeigt wurde und der Anmerkung, ich sei darin zu sehen. Sein Profil wurde offenbar geknackt - es ist nun auch gar nicht mehr abzurufen, wahrscheinlich wurde es schon gesperrt. Beim Versuch, mir die URL unten links im Browser anzeigen zu lassen, habe ich dann leider doch den Link angeklickt. Jetzt frage ich mich erstmal, inwieweit davon eine Gefahr ausgehen kann - auch weil ich eine Linux-Distribution (Debian - nähere Info s. unten) verwende. Für eine kurze Einschätzung von Eurer Seite wäre ich sehr dankbar.

Vorab Details zum Link und zum Ablauf:
Weil ich selbst nach dem Anklicken gestern in keinem neuen Feld Daten eingegeben habe, wäre Phishing im klassischen Sinne wohl auszuschließen. Es öffnete sich unmittelbar nach dem Anklicken ein separates Firefox-Fenster, das dann aber auch sofort wieder verschwand (also geschlossen wurde - aber nicht von mir). Das ging wirklich sehr schnell innerhalb eines Bruchteils einer Sekunde. Nun weiß ich leider nicht, ob Firefox selbst das Öffnen bzw. weitere Ausführen verhindert hat und es deshalb so schnell verschwand. Es erschien nämlich keine Meldung von Firefox, dass ein 'pop-up-fenster' geblockt wurde oder ähnliches. Genau das hat mich nun stutzig gemacht.
Laut der Link-Analyse von Virustotal (ich habe den Link da in die Suchmaske kopiert) ist der Link in 2 von 82 Datenbanken einmal unter der Kategorie 'Phishing' und einmal unter 'Malicious' eingetragen. Könnte es sich deshalb womöglich um Malware handeln, die sich auf irgendeine Art nach dem Anklicken selbst ausgeführt hat? Oder vielleicht war es doch ein Mechanismus von Firefox oder Debian, der das Fenster so rasch geschlossen hat?

Was ich schon überprüft habe:
Es sind keine neuen Erweiterungen in Firefox installiert seit dem Link-Klick. Ich verwende: noscript und adblocker ultimate.
Unter den Plugins ist "Widevine Content Decryption Module zur Verfügung gestellt von Google" aktiviert (das war wohl automatisch schon länger drin), als deaktiviert wird dort folgendes angezeigt: "OpenH264-Videocodec zur Verfügung gestellt von Cisco Systems, Inc.
In Facebook in meinem Profil sind auch keine apps aktiviert/installiert (habe gelesen, dass das manchmal passiert nach dem Öffnen solcher Links).
Mir ist unmittelbar nach dem Öffnen des Links nichts konkretes am Verhalten des Systems aufgefallen (lediglich der Lüfter lief einige Zeit lauter als normal, aber das Gerät war da aber auch schon den ganzen Tag an..)

Mir ist bewusst, dass bei Linux-Distributionen Pakete nicht einfach ohne weiteres Zutun, d. h. nicht ohne root-/adminrechte, installiert werden können. Ich habe gestern diese Rechte auch nicht durch PW-Eingabe freigegeben. Dennoch frage ich mich, ob nicht doch eine Gefahr bestehen könnte, allein durch das Öffnen des Links im User-Modus schädliche Software auf dem Rechner bzw. im System zu haben, die sich nun unbemerkt ausführt. Könnte das hier unter Umständen passiert sein? Auch wenn ich mir hier den Unterschied zu Windows von der Logik her erklären kann, bin ich (programmier-)technisch leider noch nicht gut genug, um mir meine Frage selbst zu beantworten. Ich habe auch noch keinen Weg gefunden, wie ich sicher überprüfen könnte, ob der Link nicht einfach "nur" zu einer Phishing-Seite führt..

Ich wollte den besagten potentiell gefährdenden Link hier nicht einfach teilen, habe aber in eurem Regelwerk die Möglichkeit der modifizierten Darstellung gefunden, damit er nicht ohne weiteres per Klick zu öffnen ist. Als zweite Sicherheitsstufe teile ich hier einfach lediglich den virustotal-analyselink. Im Ergebnisbericht wird der entsprechende Link auch angezeigt. Also bitte nur öffnen, wer damit umgehen kann - natürlich kann ich ihn auch bei Bedarf direkt teilen: h**ps://www.virustotal.com/gui/url/cae176a1067d7671a492b20689618d94564d097bc5d7dee343d32fdc7537b1b1/detection

Die Betrugsmasche ist innerhalb von Facebook wohl schon seit mehreren Jahren in verschiedenen Varianten aufgetaucht. Mein Fall gleicht dem, wie es hier beschrieben wird sehr (hier wird nur von einem Phishing-Versuch ausgegangen - malware wird hier nicht erwähnt: https://www.mimikama.at/aktuelles/warnung-video-nachricht-facebook-messenger/

Über eine kurze Einschätzung würde ich mich jedenfalls sehr freuen! Dann weiß ich auch besser, welchen Schritt ich womöglich in Erwägung ziehen sollte..

Viele Grüße
Rosarin

Informationen zu meinem Rechner:
Es handelt sich um ein lenovo thinkpad t470
Ich verwende debian gnu/Linux 9 (stretch) 64 bit, gnome version 3.22.2
Firefox: 78.4.Oesr (64-Bit) - Erweiterungen: noscript und adblocker ultimate / Plugin (aktiviert): Widevine Content Decryption Module zur Verfügung gestellt von Google


PS. ich war mir nicht ganz sicher, ob das Thema nicht auch besser für das Unterforum "Alles rund um Mac OSX & Linux" gepasst hätte, weil hier ja mehr von Windows-Fragen ausgegangen wird. Bitte entschuldigt, falls mein Thema dort besser aufgehoben gewesen wäre.

Ich weiß jetzt nicht was du da hören willst. Den Klick kannst du jedenfalls nicht rückgängig machen.

Dein Debian wird bestimmt keine Malware haben. Prüfen kann man das aber nicht weil es keine Tools wie FRST oder Malwarebytes gibt für Linux.

Zitat:

Ich verwende debian gnu/Linux 9 (stretch) 64 bit, gnome version 3.22.2

Debian stretch ist ja nun auch nicht mehr ganz taufrisch. Du solltest ASAP mal ein dist-upgrade auf buster machen.

Zitat:

Es sind keine neuen Erweiterungen in Firefox installiert seit dem Link-Klick. Ich verwende: noscript und adblocker ultimate.

Ich würde adblocker ultimate durch uBlock Origin für Linux ersetzen wenn das auch auf deinem Debian läuft im Firefox.

Zitat:

Zitat von schlawack

Ich würde adblocker ultimate durch uBlock Origin für Linux ersetzen wenn das auch auf deinem Debian läuft im Firefox.

Die addons sind für Firefox. Da ist es egal, ob der Firefox ne Linux- oder Windows-Binary ist. Also ja, alle Addons laufen auch in einem Firefox egal ob Windows oder Linux.

Hallo,

danke für die Antworten!

Wie gesagt hatte ich auch gedacht, dass Malware hier unwahrscheinlich ist. Ich war dann nur verunsichert, wie firefox (nicht) reagiert hat nach dem Klick.. Und ich dachte, evtl. kennt jemand von euch diesen spezifischen malware/phishing-Angriff bereits. Aber danke jedenfalls für die Einschätzung! Ich konnte seitdem auch keine Unregelmäßigkeiten feststellen. Dann hat sich der Verdachtsfall wohl erledigt.

Viele Grüße
Rosarin

Zitat:

Zitat von schlawack

Ich würde adblocker ultimate durch uBlock Origin für Linux ersetzen wenn das auch auf deinem Debian läuft im Firefox.

Vielen Dank für die Empfehlung! Der würde wohl laufen bei mir. Bisher kann ich mich zwar nicht beschweren, aber ich probiere gerne auch mal ublock origin aus.