Hacken ist vielleicht das falsche Wort dafür. Trick trifft es schon eher.
Heute bin ich beim Surfen auf Frames gestoßen. Das ist erstmal nichts besonderes, aber dann kam mir ein Einfall. Man kann es so beschreiben, dass durch dieses “Verfahren” im Grunde genommen jede denkbare Aktion in einem fremden SchülerVZ-Account möglich ist.
Ich habe dies natürlich nicht an reelen anderen Accounts probiert, sondern an meinem Eigenen getestet. Aber es könnte eigentlich jedem passieren. Es läuft so ab:
- Man bekommt von irgendwo einen Link zugeschickt.
- Man klickt auf den Link und kommt auf eine bestimmte Website.
- Was auf dieser Website steht, ist vollkommen bedeutungslos. Es muss einen nur anregen irgendwo drauf zu klicken.
Ob es nun ein Gewinnspiel ist, oder vielleicht ein interessanter Artikel oder was weiß ich. - Man klickt, wie gesagt, auf einen bestimmten Punkt der Website und im Hintergrund wird ohne dass man es selber sieht, eine Aktion im SchülerVZ ausgeführt. Dabei kann alles mögliche passieren. Im schlimmsten Fall die Löschung des Accounts.
Jetzt denkt ihr bestimmt, ich wär verrückt oder so ähnlich. Aber es ist möglich. Und zwar garnicht mal so schwer. In dem Beispiel, was ich getestet habe, wurde ein Buschfunk Eintrag verfasst, während man auf einer Website war, die vorgab, man könne das SchülerVZ hacken.
So sah es dann aus:
Wie ich bereits sagte, ist es egal, was auf dieser Website steht.
Das Beispiel links ist daher auch nicht sehr einfallsreich oder schön gestaltet.
Um klar zu machen, was da im Hintergrund passiert, habe ich den Code etwas verändert und einen weiteren Screenshot gemacht.
Auf diesem sieht man, was eigentlich passiert:
- Im Hintergrund öffnet sich die SchülerVZ Seite. Diese ist jedoch unsichtbar und wird von dem anderen Inhalt überdeckt. Wenn man vor dem Besuchen der Website im SchülerVZ eingeloggt war, kommt man auch direkt auf die Startseite.
- Dann hat man die Anleitung befolgt und auf 1 geklickt. Dadurch hat man im Hintergrund in das Textfeld geklickt.
- Man gibt SAKUL ein.
- Schließlich hat man auf 2 gedrückt, wodurch man eigentlich auf speichern geklickt hat.
- Und schon hat man ohne sein eigenes Wissen, etwas im Buschfunk geschrieben.
So könnte man natürlich auch jeden anderen Vorgang tätigen.
Dies kann man mit jeder Internet-Seite machen. Nicht nur mit SchülerVZ.
Den Code für solch eine Trick-Seite poste ich nicht, da ich ja niemanden anstiften will, andere User-Accounts zu verändern oder zu löschen oder irgend einen anderen Schaden anzurichten. Aber jeder Computer-Nutzer mit mittelmäßigen HTML-Kenntnissen kann den Code in einigen wenigen Minuten schreiben.
Also immer schön aufpassen, wo man surft oder wo man hinklickt. Man weiß nie, wo die Gefahren auf einen lauern. Vielleicht habt ihr ja gerade durch das Lesen dieses Artikels euren SchülerVZ-Account gelöscht. 
Loading ...
#1 von _pommesgabel am 17. Januar 2010 - 21:34
@luckylukkii Nette Idee. Lässt sich mit Framebreaken (auf der geframten Seite per JS) oder Referer-Schutz aber verhindern
via Twitoaster
#2 von _pommesgabel am 17. Januar 2010 - 21:42
@luckylukkii Ach übrigens, Account löschen ist nicht wirklich möglich, da das Passwort dafür eingegeben werden muss
via Twitoaster
#3 von lukasheblik am 17. Januar 2010 - 22:03
@_pommesgabel Es gibt aber die Möglichkeit die E-Mail Adresse zu ändern und dann ein neues Password zuzuschicken…
via Twitoaster
#4 von _pommesgabel am 17. Januar 2010 - 22:04
@luckylukkii Crap. Das macht das ganze extrem einfach… Da alleine setzt schon die totale Angriffsfläche an
via Twitoaster
#5 von _pommesgabel am 17. Januar 2010 - 22:05
@luckylukkii Gerade weil du ne eigene E-Mail angeben kannst und den kompletten Account unter deine Kontrolle reißen.. Das Zeug ist noobig.
via Twitoaster
#6 von niels am 18. Januar 2010 - 16:01
sry alter 2 rechtschreibfeheler^:
einigen und schreiben heißt es eigentlich
soweit ich weiß^^
#7 von Joel Rau am 18. Januar 2010 - 16:43
Davon hab ich ein Video gesehen.
Account löschen geht eig. nicht weil man immer noch ein Passwort eingeben muss…
#8 von Lukas Heblik am 18. Januar 2010 - 19:28
@ Joel Rau
Und was ist, wenn man den Nutzer dazu bringt, die E-Mail Adressen zu ändern ? ^^
Dann kann man sich ein neues Passowrt zuschicken lassen…
#9 von @_pommesgabel am 20. Januar 2010 - 10:18
Stimmt, mit der schlecht geschützten E-Mail-Änderung kann man sich eh den kompletten Account untern Nagel reißen.
#10 von Larissa am 23. Januar 2010 - 18:20
Niels, ich habe noch einen Rechtschreibfehler gefunden:
Vielleicht habt ihr ja gerade durch das Lesen dieses Artikels euer SchülerVZ-Account gelöscht.
Statt dessen müsste es lauten:
Vielleicht habt ihr ja gerade durch das Lesen dieses Artikels euren SchülerVZ-Account gelöscht.
XD
Oh man, es gibt da auch so ne Kettenmail, wo drinsteht, dass man, wenn man den Link so und sooft mal weiter geschickt hat, sich in andere Accounts einloggen und da jeglichen Schaden anrichten kann. Idiotisch das Ganze. Wenn das wirklich welche glauben, dass das mit den Kettenmails funktioniert – dann ist er’s selber Schuld
#11 von asdxyx am 6. Februar 2010 - 03:52
“Heute bin ich beim Surfen auf Frames gestoßen” … und jetz biste n ganz toller gefährlicher hacker ??? ….. genau ………
#12 von Lukas Heblik am 6. Februar 2010 - 11:17
@ asdxyx
Ich sagte doch, das man es nicht Hack nennen darf…
#13 von kp am 28. März 2010 - 04:02
Ohh ich muss mein seiteN hacken ich komm nicht in beidn rein!!!!
& ein 3. mach sicherlich nicht mehr…
#14 von the killers mr brightside cover am 2. April 2010 - 10:26
I’m a sucker for The Killers they really are one of my favourite bands. Though I must say I stumbled upon this superior mr brightside cover version on YouTube just now and y’know I enjoyed it much more than the genuine release! You should view this … The Killers Mr Brightside Cover
#15 von marco am 30. April 2010 - 16:05
das geht nicht ich hab versucht
#16 von besic am 30. April 2010 - 16:15
ich will hack
#17 von kp am 10. Mai 2010 - 17:17
kann mir jemand bitte sagen wie man das hestelt
#18 von nika am 20. Mai 2010 - 14:55
mir auch
#19 von Macciboy chiller am 25. Mai 2010 - 19:23
eyy was machste soo??
#20 von Macciboy chiller am 25. Mai 2010 - 19:23
mir auch
#21 von Nancy LiiebT iiHn sooo seHR am 16. Juni 2010 - 16:11
altah seid ihr doof xD
#22 von BoB am 22. Juni 2010 - 16:26
lol noobs
#23 von Alina am 6. Juli 2010 - 16:10
o
#24 von Leo am 15. August 2010 - 17:58
Ey jemand hat mein Passwort geändert!
Kannst du, ich weiss ist riskant aber nötig!
Kannst du bitte meinen account hacken oder so und mir dann das neue Passwort geben bitte!
Danke im voraus.
Leo