Ile osób klika w trywialne kampanie facebookowych oszustów i kto je tworzy?

dodał 27 grudnia 2017 o 06:50 w kategorii Wpadki  z tagami:
Ile osób klika w trywialne kampanie facebookowych oszustów i kto je tworzy?

Gdy opisujemy różne facebookowe oszustwa w komentarzach piszecie „Kto jest taki głupi by klikać w te linki i podawać swoje dane”. Niestety takich osób nie brakuje – poniżej znajdziecie statystyki jednej niewielkiej kampanii.

Spokojne świąteczne popołudnie spędziliśmy w nasz ulubiony sposób – śledząc kampanie oszustów. Zaczęło się od jednego prostego zgłoszenia Czytelnika, a skończyło się kilkuset złośliwymi domenami, wspierającymi cztery różne kampanie wykradające hasła Facebooka lub wyłudzające wiadomości SMS premium. Planujemy od czasu do czasu opisywać te, które używają nowych sztuczek lub w których udało się nam dowiedzieć czegoś więcej o skali lub sprawcach. Poniżej jeden z przykładów, gdzie dotarliśmy do statystyk ruchu a także do prawdopodobnego adresu IP autora oszustwa.

Zdjęcia, zdjęcia, wszędzie zdjęcia

Początkiem oszustwa jest wiadomość wysyłana z przejętych kont Facebooka do znajomych ofiar pierwszego stopnia. Przestępcy, podszywając się pod osoby znane kolejnym ofiarom, wykorzystują istniejącą relację zaufania i informują kolejne osoby, że ich zdjęcia zostały przez kogoś przerobione i umieszczone w sieci. Adresy stron szybko ewoluują, jednak utrzymują stały schemat:

Domena online.cm jest udostępniana za darmo, z czego z radością korzystają przestępcy. Wszystkie domeny w tej (ale nie tylko tej…) kampanii wskazują na serwer

w firmie Hetzner. Na każdej ze stron widzimy ten sam fałszywy panel logowania do Facebooka:

Tak naprawdę treść każdej ze stron wczytywana jest z adresu

Domena utworzona została 14 grudnia 2017, jest zarejestrowana i hostowana w firmie Nazwa.pl. Z kolei treść witryny sterowa.pl wczytywana jest z adresu

który przekierowuje do adresu w innej, podobnej domenie:

Ta domena także została zarejestrowana w Nazwa.pl, tego samego 14 grudnia a osoba rejestrująca podała fałszywe dane. Strona hostowana jest na amerykańskim serwerze, prawdopodobnie za pośrednictwem małej polskiej firmy hostingowej. To na tym serwerze zbierane są dane wykradane internautom, czyli loginy i hasła do Facebooka. To jednak nie koniec oszustwa.

Cccccombo

Kiedy już ofiara poda przestępcy swój login i hasło do Facebooka, trafia na kolejną witrynę:

gdzie następuje próba wyłudzenia SMSa premium:

Ramka widoczna na obrazku wczytywana jest z adresu

a pod obrazkiem znajduje się niewidoczna stopka wczytywana z adresu

Link do regulaminu prowadzi do witryny

(regulamin to ciąg plików JPG, które trudniej zindeksować wyszukiwarkom lub skopiować internautom).

W źródle pliku stopki znajdują się normalnie niewidoczne informacje podobne do zawartych w regulaminie. Pod adresem

znaleźć można baaaardzo długa listę domen, których dotyczy ów „regulamin”. Zapisana jest ona w formie pliku PNG zawartego w kodzie witryny, dla ułatwienia zamieszczamy go poniżej:

Nigdzie nie udało nam się znaleźć danych podmiotu odpowiedzialnego za usługę (regulamin z reguls.pl odsyła do regulaminu serwisu, niewidzialny regulamin serwisu nie wskazuje na podmiot odpowiedzialny).Wiemy jedynie, ze SMS kosztuje 30,75 PLN i wbrew wszelkim sugestiom zawartym na wszystkich stronach nie oznacza dostępu do przerobionych zdjęć z Facebooka, a 14-dniowy dostęp do panelu umożliwiającego pobieranie filmów z…. Youtube, torrentów i serwisów typu Redtube czy Youporn. Wow.

Kto dostarcza usługi tworzenia stron i pobierania płatności

Domeny takie jak myeforsa.pl, reguls.pl czy wysylamy.pl (tam znajduje się formularz reklamacyjny), które jak wskazują linki i regulaminy są zaangażowane w obsługę klientów tego procederu schowane są za Cloudflare a dane podmiotów rejestrujących są ukryte. W internecie jednak nie tak prosto się ukryć i można łatwo znaleźć informacje o tym, ze domena wysylamy.pl wskazywała kiedyś na adres IP 185.23.21.170, który z kolei powiązany był z domeną adeforsa.pl. Podmiot, stojący za tym adresami, to serwis eforsa.pl.

I faktycznie, w „programie partnerskim” jednym z prefiksów do wyboru jest ag.lucky:

Utworzyliśmy sobie nawet własne „okno płatności”, które wygląda identycznie jak to opisywane przez nas:

W trakcie lektury różnych linków trafiliśmy w końcu na serwis, do którego dostęp rzekomo wykupują ofiary oszustwa – to strona payo.me, gdzie za 123 PLN miesięcznie (lub SMSy premium) można pobierać pliki w większości przypadków (oprócz Chomikuj.pl) z darmowych stron WWW. Dla Chomikuj.pl obowiązuje limit 5 GB miesięcznie, który w samym Chomikuj.pl można kupić za 7 PLN miesięcznie + VAT. Za wygodę „pobierania wszystkich plików w jednym miejscu” z darmowych serwisów firma liczy sobie zatem ok. 114 PLN miesięcznie.

Administratorem serwisu jest Soho Invest Sp. z o.o. sp. k., ul. Kościuszki 29, 50-011, Wrocław, wpisana do rejestru przedsiębiorców pod numerem 0000532783. Z kolei właścicielem serwisu eforsa.pl jest obecna już kiedyś na naszych łamach firma Loupe AdNew Sp. z. o.o. SK, ul. Kościuszki 29, 50-011 Wrocław, NIP: 897-179-13-79.

Kto się na to łapie

Czas pokazać, jaka jest skala tylko tej kampanii przestępców stojących za atakami na użytkowników Facebooka. Udało się nam ustalić, ilu internautów weszło na którąkolwiek z domen wymienionych na początku artykułu. Od początku kampanii (a zaczęła się 14 grudnia) stronę www.sterowa.pl załadowano 3461 razy. Tak wygląda wykres aktywności w poszczególnych dniach grudnia:

Wśród kilku tysięcy adresów, które kliknęły w link, znaleźliśmy między innymi takie:

Mamy nadzieję, że to tylko studenci, którzy badali to zjawisko pod kątem naukowym…

Adres IP twórcy tego oszustwa?

Na koniec mamy dla wytrwałych Czytelników prawdziwą perełkę – otóż prawdopodobnie autor tego oszustwa zostawił w logach na pamiątkę swój adres IP. Poniżej małe kalendarium wydarzeń z dnia 14 grudnia 2017:

  • 2017.12.14 10:58:20 – rejestracja domeny sterowa.pl,
  • 2017-12-14 10:59:50 – utworzenie skrócone linku na który przekierowuje domena,
  • 2017-12-14 11:06:56 – pierwsza i jedyna tego dnia wizyta pod skróconym linkiem.

Jeśli ktoś będzie szukał sprawcy oszustwa, to użytkownik adresu IP 188.146.6.165, który dnia 14 grudnia 2017 o godzinie 11:06:56 wchodził na stronę sterowa.pl może mieć na ten temat ciekawe informacje. Co więcej, to jedna z trzech (spośród ponad 3 tysięcy) wizyt, w której adres prowadzący do skróconego linku był podany bez ciągu „www”. Dodatkowo z podobnej klasy adresowej, zapewne przypisanej do tej samej grupy nadajników GSM, odbywały się także kolejne dwa wejścia 15 grudnia, zanim kampania ruszyła z pełnym rozmachem.

 

Pozdrawiamy autora kampanii.