Wobei es nicht an Facebook liegt.
Seit die Anzahl der „Liker“ – also der Menschen, die auf einer Facebook-Seite oder auf einer anderen Website mit Facebook-Like-Button denselben geklickt haben – sich langsam aber sicher zur Währung des Web 2.0-Marketing entwickelt wird natürlich auch versucht, Falschgeld zu drucken.
In Form von „Likes“, die den Seitenbesuchern untergeschoben werden.
Da nimmt man ein lustiges Video – etwa von der Frau, die durch den Mann etwas rüde geweckt wird und ihn KO schlägt, oder das des Breakdancers, der ein Mädchen aus dem Publikum roundhousekickt. Sowas findet sich bei Yahoo in rauhen Mengen.
Dann nimmt man eine eigene Website, wo man das Video (und noch ein paar Dinge) einbindet. Und beginnt mit dem Spiel.
Man selber „liked“ es, dadurch erscheint der Link auf diese Website auf der Pinwand. Die Freunde sehen den Link, wollen auch gucken – und ohne es zu merken „liken“ sie ihn auch, selbst, wenn sie das Video hassen. Und dadurch erscheint der Link auf ihrer Pinwand, auch ihre Freunde sehen ihn, werden neugierig…
Nehmen wir mal ein konkretes Beispiel des aktuellen Schemas, das da abläuft:
Der Köder: Ein "lustiger" Link
Das sieht fast wie ein Youtube-Video aus, wenn man genau hinsieht, kann man jedoch den Unterschied erkennen:
Als Vergleich: Ein echtes Video an der Pinwand
Schaut man genau hin, sieht man, dass das Video (unteres Bild) als Video eingebunden wird und unter dem Standbild – vor der Angabe, wie lange das Video schon auf der Pinwand zu sehen ist – ist ein Filmsymbol zu sehen. Beim Fake – siehe oberes Bild – wird kein Video eingebunden, sondern ein Link geteilt.
Werfen wir nun einen Blick auf das, was man sieht, wenn man den Link anklickt:
Der Ziel-Link
Wir sehen: Das ist eine platte Website, die nichts anderes macht, als ein beliebiges Youtube-Video einzubetten. Jetzt erschien der Link auf meiner Pinwand, weil er jemandem gefiel, also jemand den Like-Button gedrückt hatte. Wo mag der Button sein? Auf dieser Website?
In der Tat: Da ist ja gar kein Like-Button! Geht es da mit schwarzer Magie zu?
Webseiten können durch entsprechende HTML- und Style-Anweisungen aus mehreren übereinander gelegten Folien zusammengesetzt werden. Und das Video besteht aus einer Folie mit dem Video selbst und einer Folie, auf der sich der Like-Button befindet. Dazu ist er komplett umgestaltet, transparent gemacht und auf die Größe des scheinbaren Video-Schnappschusses ausgedehnt innerhalb des Video-Schnappschusses als Floating-Objekt direkt unter den Mauszeiger „geklebt“ worden – allein das ist eine Meisterleistung. Facebook will den Missbrauch der Knöpfe ja gerade verhindern und hat diese daher so kompliziert und verschleiert codiert, wie es auch bei bösen Websites gemacht wird, die als Drive-By-Download mal eben einen Tojaner oder Keylogger rüberreichen wollen.
Wer mag kann den Mauszeiger auf das Video bewegen, mit der rechten Taste klicken und den Frame im Quelltext ansehen. Man sieht dann sofort, dass das „Video“ ein Script ist, das von

http://www.facebook.com/plugins/like.php?channel_url=http://static.ak.fbcdn.net/connect/xd_proxy.php%3Fversion%3D0%23cb%3Df31b81af24%26origin%3Dhttp%253A%252F%252Fkranke-scheisse.com%252Ffea9b18a%26relation%3Dparent.parent%26transport%3Dpostmessage&href=http://www.kranke-scheisse.com/street-dancer-verkickt-kleines-maedchen&layout=standard&locale=en_US&node_type=link&sdk=joey&show_faces=false&width=225

geladen wurde. Der Anfang (den ich fett markiert habe) zeigt, dass es sich um ein Script auf den Facebook-Servern handel, das like.php heisst. Vergleichbaren Code findet man auch hinter jedem unveränderten Like-Button.
Tatsächlich passiert genau was, wenn man auf das Video klickt?
Man wird einmal zu Youtube geleitet, um das Video zu sehen – das ist schon auffällig, weil das Video sich problemlos ohne Naht einbetten ließe.
Und dann erscheint auf der eigenen Pinwand der Hinweis, das einem das Video gefällt. Während man es sich anguckt, staunt, lacht, sich aufregt oder sonstwie reagiert, macht der Eintrag auf der Pinwand die Freunde neugierig, die selber draufklicken:

Was hat man nun von solchen versehentlichen Likes?
Die Anzahl der Liker einer Website ist eine Art Währung und wird oft 1:1 als „Fans“ übersetzt. Nach Marketinggesichtspunkten kann eine Website, die schon viele „Fans“ auf Facebook hat, gut verkauft werden. Jedenfalls, wenn man den Bekanntheitsgrad an der Anzahl der Likes misst.
Eine andere Missbrauchsmöglichkeit zeigt sich durch die Diskussion über die KT zum Guttenberg-Fanseiten, die überaus rasant an Fans gewann. Einzelne Berichte von Leuten, die sich gar nicht fürs Thema interessieren und auch nie im Leben geklickt hätten, aber plötzlich „Fans“ waren und Antworten auf angebliche Postings auf der Seite Antworten bekamen, blieben bislang unbestätigt.
Denkbar ist jedenfalls auch, eine banale Website auf diese Weise mit vielen Fans zu „versorgen“, damit sie dann eines Tages einen ganz anderen Inhalt hat als zuvor. Das ganze erinnert ein Wenig an frühere Versuche, mit Bots Gästebücher mit Lob & Links zu füllen, um nach ein paar Monaten z.B. ein Porno-Camgirl mit 5000 eingehenden Links in Gästebüchern zu pushen.
Was macht man am besten, wenn man auf so einen Link reinfällt?
Ganz einfach. Auf die Pinwand gucken, oben rechts beim Eintrag das X klicken, das erscheint, wenn die Maus dort schwebt, und dort „als SPAM markieren“ klicken.
Derartiger Missbrauch der Like-Funktion kann nach den Facebook-Regeln dazu führen, dass der Urheber seinen Account (und damit alle seine Seiten und Likes!) verliert. Wenn sich genügend Leute über SPAM beschweren schauen die Administratoren und werden tätig.
UPDATE: David Müller hat sich auch geärgert und hat das Ganze technisch gründlich analysiert.
UPDATE 2: André Vatter schreibt auch über das Likejacking.
UPDATE 3: Mit der hier beschriebenen Methode ist es nicht möglich, einen Like für etwas anderes, als die aufgerufene Website auszuführen. Peter Berger zeigt hier, dass es eine Methode gibt, von einer Website aus beliebige Facebook-Ziele zu liken.

Kategorien: Allgemein