27.12.2017 | 06:50

Adam Haertle

Ile osób klika w trywialne kampanie facebookowych oszustów i kto je tworzy?

Gdy opisujemy różne facebookowe oszustwa w komentarzach piszecie „Kto jest taki głupi by klikać w te linki i podawać swoje dane”. Niestety takich osób nie brakuje – poniżej znajdziecie statystyki jednej niewielkiej kampanii.

Spokojne świąteczne popołudnie spędziliśmy w nasz ulubiony sposób – śledząc kampanie oszustów. Zaczęło się od jednego prostego zgłoszenia Czytelnika, a skończyło się kilkuset złośliwymi domenami, wspierającymi cztery różne kampanie wykradające hasła Facebooka lub wyłudzające wiadomości SMS premium. Planujemy od czasu do czasu opisywać te, które używają nowych sztuczek lub w których udało się nam dowiedzieć czegoś więcej o skali lub sprawcach. Poniżej jeden z przykładów, gdzie dotarliśmy do statystyk ruchu a także do prawdopodobnego adresu IP autora oszustwa.

Zdjęcia, zdjęcia, wszędzie zdjęcia

Początkiem oszustwa jest wiadomość wysyłana z przejętych kont Facebooka do znajomych ofiar pierwszego stopnia. Przestępcy, podszywając się pod osoby znane kolejnym ofiarom, wykorzystują istniejącą relację zaufania i informują kolejne osoby, że ich zdjęcia zostały przez kogoś przerobione i umieszczone w sieci. Adresy stron szybko ewoluują, jednak utrzymują stały schemat:

twoje-foto1.online.cm
twoje-foto2.online.cm
twoje-foto3.online.cm
[...]
twoje-foto20.online.cm

Domena online.cm jest udostępniana za darmo, z czego z radością korzystają przestępcy. Wszystkie domeny w tej (ale nie tylko tej…) kampanii wskazują na serwer

144.76.162.245

w firmie Hetzner. Na każdej ze stron widzimy ten sam fałszywy panel logowania do Facebooka:

Tak naprawdę treść każdej ze stron wczytywana jest z adresu

http://www.sterowa.pl

Domena utworzona została 14 grudnia 2017, jest zarejestrowana i hostowana w firmie Nazwa.pl. Z kolei treść witryny sterowa.pl wczytywana jest z adresu

http://bit.do/btgws

który przekierowuje do adresu w innej, podobnej domenie:

http://sterowa.eu/asfalt/

Ta domena także została zarejestrowana w Nazwa.pl, tego samego 14 grudnia a osoba rejestrująca podała fałszywe dane. Strona hostowana jest na amerykańskim serwerze, prawdopodobnie za pośrednictwem małej polskiej firmy hostingowej. To na tym serwerze zbierane są dane wykradane internautom, czyli loginy i hasła do Facebooka. To jednak nie koniec oszustwa.

Cccccombo

Kiedy już ofiara poda przestępcy swój login i hasło do Facebooka, trafia na kolejną witrynę:

 http://denis82.5v.pl

gdzie następuje próba wyłudzenia SMSa premium:

Ramka widoczna na obrazku wczytywana jest z adresu

http://api.myeforsa.pl/widget?domain=http%3A//foto-mix.eu&ref=8ad7a&model=mo-25|ag.lucky,mt-ok&background=ffffff&background_transparent=0&button_color=000000&primary_color=000000&secondary_color=000000&input_color=ffffff&auto_accept_regulation=1&text_above_input=0&extra_url=&text_incentive=Twoje+Przerobione+Fotki

a pod obrazkiem znajduje się niewidoczna stopka wczytywana z adresu

http://api.myeforsa.pl/widget/footer?ref=8ad7a

Link do regulaminu prowadzi do witryny

http://reguls.pl/

(regulamin to ciąg plików JPG, które trudniej zindeksować wyszukiwarkom lub skopiować internautom).

W źródle pliku stopki znajdują się normalnie niewidoczne informacje podobne do zawartych w regulaminie. Pod adresem

http://reguls.pl/list

znaleźć można baaaardzo długa listę domen, których dotyczy ów „regulamin”. Zapisana jest ona w formie pliku PNG zawartego w kodzie witryny, dla ułatwienia zamieszczamy go poniżej:

Nigdzie nie udało nam się znaleźć danych podmiotu odpowiedzialnego za usługę (regulamin z reguls.pl odsyła do regulaminu serwisu, niewidzialny regulamin serwisu nie wskazuje na podmiot odpowiedzialny).Wiemy jedynie, ze SMS kosztuje 30,75 PLN i wbrew wszelkim sugestiom zawartym na wszystkich stronach nie oznacza dostępu do przerobionych zdjęć z Facebooka, a 14-dniowy dostęp do panelu umożliwiającego pobieranie filmów z…. Youtube, torrentów i serwisów typu Redtube czy Youporn. Wow.

Kto dostarcza usługi tworzenia stron i pobierania płatności

Domeny takie jak myeforsa.pl, reguls.pl czy wysylamy.pl (tam znajduje się formularz reklamacyjny), które jak wskazują linki i regulaminy są zaangażowane w obsługę klientów tego procederu schowane są za Cloudflare a dane podmiotów rejestrujących są ukryte. W internecie jednak nie tak prosto się ukryć i można łatwo znaleźć informacje o tym, ze domena wysylamy.pl wskazywała kiedyś na adres IP 185.23.21.170, który z kolei powiązany był z domeną adeforsa.pl. Podmiot, stojący za tym adresami, to serwis eforsa.pl.

I faktycznie, w „programie partnerskim” jednym z prefiksów do wyboru jest ag.lucky:

Utworzyliśmy sobie nawet własne „okno płatności”, które wygląda identycznie jak to opisywane przez nas:

W trakcie lektury różnych linków trafiliśmy w końcu na serwis, do którego dostęp rzekomo wykupują ofiary oszustwa – to strona payo.me, gdzie za 123 PLN miesięcznie (lub SMSy premium) można pobierać pliki w większości przypadków (oprócz Chomikuj.pl) z darmowych stron WWW. Dla Chomikuj.pl obowiązuje limit 5 GB miesięcznie, który w samym Chomikuj.pl można kupić za 7 PLN miesięcznie + VAT. Za wygodę „pobierania wszystkich plików w jednym miejscu” z darmowych serwisów firma liczy sobie zatem ok. 114 PLN miesięcznie.

Administratorem serwisu jest Soho Invest Sp. z o.o. sp. k., ul. Kościuszki 29, 50-011, Wrocław, wpisana do rejestru przedsiębiorców pod numerem 0000532783. Z kolei właścicielem serwisu eforsa.pl jest obecna już kiedyś na naszych łamach firma Loupe AdNew Sp. z. o.o. SK, ul. Kościuszki 29, 50-011 Wrocław, NIP: 897-179-13-79.

Kto się na to łapie

Czas pokazać, jaka jest skala tylko tej kampanii przestępców stojących za atakami na użytkowników Facebooka. Udało się nam ustalić, ilu internautów weszło na którąkolwiek z domen wymienionych na początku artykułu. Od początku kampanii (a zaczęła się 14 grudnia) stronę www.sterowa.pl załadowano 3461 razy. Tak wygląda wykres aktywności w poszczególnych dniach grudnia:

Wśród kilku tysięcy adresów, które kliknęły w link, znaleźliśmy między innymi takie:

nat.ds2.agh.edu.pl
nat.ds3.agh.edu.pl
nat.ds7.agh.edu.pl
nat.ds9.agh.edu.pl
rtr.ds.pk.edu.pl
ikar.prz.edu.pl
w092.mchtr.pw.edu.pl
akademik.nat.student.pw.edu.pl
tatrzanska.nat.student.pw.edu.pl
magas.ds.pg.gda.pl
netpanel-87-246-196-208.umcs.akademiki.lublin.pl
netpanel-87-246-197-131.umcs.akademiki.lublin.pl
h158-75-44-76.stud.eduroam.umk.pl
Mamy nadzieję, że to tylko studenci, którzy badali to zjawisko pod kątem naukowym…

Adres IP twórcy tego oszustwa?

Na koniec mamy dla wytrwałych Czytelników prawdziwą perełkę – otóż prawdopodobnie autor tego oszustwa zostawił w logach na pamiątkę swój adres IP. Poniżej małe kalendarium wydarzeń z dnia 14 grudnia 2017:

  • 2017.12.14 10:58:20 – rejestracja domeny sterowa.pl,
  • 2017-12-14 10:59:50 – utworzenie skrócone linku na który przekierowuje domena,
  • 2017-12-14 11:06:56 – pierwsza i jedyna tego dnia wizyta pod skróconym linkiem.

Jeśli ktoś będzie szukał sprawcy oszustwa, to użytkownik adresu IP 188.146.6.165, który dnia 14 grudnia 2017 o godzinie 11:06:56 wchodził na stronę sterowa.pl może mieć na ten temat ciekawe informacje. Co więcej, to jedna z trzech (spośród ponad 3 tysięcy) wizyt, w której adres prowadzący do skróconego linku był podany bez ciągu „www”. Dodatkowo z podobnej klasy adresowej, zapewne przypisanej do tej samej grupy nadajników GSM, odbywały się także kolejne dwa wejścia 15 grudnia, zanim kampania ruszyła z pełnym rozmachem.

 

Pozdrawiamy autora kampanii.

Powrót

Komentarze

  • 2017.12.27 07:11 K

    Hmm z tym IP to głupi ma szczęście, tylko pytanie kto jest tym głupim ;)

    Odpowiedz
  • 2017.12.27 08:11 X0r

    Czy wysyłanie w pętli ze skrypta losowych loginow i hasel jest nielegalne?

    Odpowiedz
    • 2017.12.27 09:14 Szekjo

      Jeśli oszust tego nie zabezpieczy to jedyne co możesz dostać to niespodziewane pakiety:) Na policję przecież nie pójdzie

      Odpowiedz
      • 2017.12.27 13:00 xD

        Zdarzają się tacy, co idą :D Taka amerykańska moda…

        Odpowiedz
  • 2017.12.27 08:45 adam

    Dlaczego nikt nic z tym nie zrobi , skoro mamy wszystko jasne czarne na białym ? To jest polska dlatego?

    Odpowiedz
    • 2017.12.28 02:50 mpan

      No właśnie, dlaczego *ty* nic z tym nie robisz? Złożyłeś zawiadomienie do prokuratury? No to masz odpowiedź, dlaczego „nikt” nic nie robi.

      Odpowiedz
  • 2017.12.27 08:49 marcin

    “Udało się nam ustalić, ilu internautów weszło na którąkolwiek z domen wymienionych na początku artykułu“ jak?

    Odpowiedz
    • 2017.12.27 09:17 Mariusz

      Skoro mają statystyki oraz adresy IP to Access log :)

      Odpowiedz
      • 2017.12.27 12:57 marcin

        No tak jeżeli postawili coś swojego to jasna sprawa ale z tekstu wynika że te statystyki dotyczą domen na początku artykułu stąd moje pytanie jak? Autor kampanii się podzielił czy są to statystyki na podstawie zgłoszeń od czytelników?

        Odpowiedz
  • 2017.12.27 08:58 tom

    Fajny artykuł, takie akcje trzeba cały czas nagłaśniać, ale niestety nadal ludzie się na to łapią. Jednak jest jedna sprawa – sprawdziłem kilka tych programów partnerskich i one chyba nie zezwalają na promocje tego typu. Może warto zapytać się ich o stanowisko w sprawie oszustów?

    Odpowiedz
  • 2017.12.27 08:58 Aaa

    Zdradzicie nam jak ustaliliście ilość wejść na domenę?

    Odpowiedz
  • 2017.12.27 09:00 Jonasz

    Źródła kliknięć nie są takie zaskakujące… powiem więcej – to przerażające. Gros moich znajomych ze studiów (studiowałem informatykę!) klika w takie głupoty, udostępnia na swoich ścianach i nie wiadomo co jeszcze robią.

    Na przedmiotach informatycznych dla innych kierunków uczy się w większości niepotrzebnego contentu typu tabele przestawne w excelu, solver czy montażu wideo (po co?!) a o praktycznych poradach i przestrogach się milczy.

    Odpowiedz
  • 2017.12.27 09:20 Duży Pies

    Użytkownik adresu IP 188.146.6.165 jeśli był ostrożny, miał kartę SIM zarejestrowaną na słupa a IMEI podmieniony lub telefon/smartfon/modem pochodzący z kradzieży

    Odpowiedz
    • 2017.12.27 10:59 wer

      Ale żeby dostawać kasę od operatora SMSów premium to jakieś realne dane musiał podać.

      Odpowiedz
      • 2017.12.27 12:24 Duży Pies

        Oczywiście, żeby dostawać kasę od operatora SMSów premium, to przestępca podał realne dane (konto bankowe) zarejestrowane na realnego słupa, Sherlocku xD

        Odpowiedz
  • 2017.12.27 10:51 Marek

    Skąd mają Państwo statystyki klików:)?

    Odpowiedz
  • 2017.12.27 11:49 Jacek

    Jest NIP, jest właściciel.

    Odpowiedz
  • 2017.12.27 13:06 WujekHujek

    Witam
    Prosiłbym o rozwinięcie zagadnienia „dotarliśmy do statystyk ruchu”.
    Dziękuje

    Odpowiedz
    • 2017.12.27 13:32 Adam

      Nie chcemy dawać za dużo wskazówek oszustom, ten fragment zachowamy dla siebie.

      Odpowiedz
      • 2017.12.27 16:05 Jacek

        A nie jest to liczba zapytań do DNS?

        Odpowiedz
  • 2017.12.27 20:33 sp33dlink

    Witam, pytanie strikte w kontekście bezpieczeństwa,

    Jak udało wam się ustalić liczbę odwiedzin dla domeny, która nie należy do was? A do tego jeszcze wychwycić adresy, które w dany link klikneły?

    Dięki i wszytskiego bezpiecznego w nowym 2018 roku.
    Pozdrawiam!
    S.

    Odpowiedz
  • 2017.12.27 22:25 Adam [ale nie autor Z3S]

    Adamie, życzę lepszego nastawienia w 2018.
    Z jednej strony pozdrawiasz (sic!) bez widocznej ironii autora kampanii aktywnie oszukującej ludzi i wyłudzającej pieniądze (którego wielu zaatakowanych by chętnie widziało w więzieniu lub psychiatryku),
    a z drugiej strony przedstawiasz przefiltrowaną listę wejść z domen akademików studenckich wraz z kontrowersyjnym komentarzem.
    Bardzo mnie zastanawia takie nastawienie ikony bezpieczeństwa PL.

    Odpowiedz
  • 2017.12.28 09:03 Pan Klocek

    Co w tym złego?
    W czym przeskadza Ci lista akademików? Płynie z tego jeden wniosek, edukować naszych biednych studentów, jak się łapią na takie coś.
    Nie trzeba być 'sekurakiem’ żeby działać rozsądnie, trzeba myśleć o tego brakuje wsrót młodzieży.
    Od ponad 10 lat to samo w bezpieczeństwie, edukacja non stop a ludzie popełniają ciągle te same błędy.

    Odpowiedz
    • 2017.12.28 20:37 Adam [ale nie autor Z3S]

      Proponuję przeczytać mój powyższy komentarz jeszcze raz jako JEDNĄ CAŁOŚĆ, ze zrozumieniem.
      A jeśli się już czepiamy na wyrywki, to spójrz na liczby:
      „Wśród *kilku tysięcy* adresów [jak zdobytych? kto partycypował?], które kliknęły w link, znaleźliśmy między innymi takie: (*13* rekordów rDNS)”.
      Idąc tym tropem równie dobrze mógł dopisać wniosek do artykułu, że moja ś.p. prababcia jest ikoną bezpieczeństwa PL, ponieważ sumaryczna ilość „lewych” linków Facebooka w jakie kliknęła w ciągu całego swojego życia wynosi dosłownie zero (czyli lepiej, niż sam Adam i większość „sekuraków”).
      Na więcej zaczepek nie odpisuję.

      Odpowiedz
  • 2017.12.28 20:13 R.

    Jesli ktos uzywa FB jest z definicji przyglupem. Wiec bedzie klikac we wszystko bez opamietania. FB mial fenomenalny pomysl na biznes: zamias szukac kretynow, zrobiono tak, ze sami do niego przychodza. A durniom wiadomo – mozna sprzedaz wszystko. I jesli ktos sadzi, ze zartuje, to sie myli. To jest scisle okreslony target, ktory w korpomowie jest nazywany terminem „jednokomorkowcy”. Pisze w 100% powaznie.

    Odpowiedz
    • 2017.12.30 22:36 x

      Łał, oświecony się znalazł, żebyś się nie udławił swoim narcyzmem. A teraz zakładaj ładnie czapeczkę aluminiową, wyłącz tora, zamknij piwnicę ołowianą ścianą i idź spać bo późno już.

      Odpowiedz
      • 2018.01.02 11:42 m.

        pieknie podsumowane :)

        Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ile osób klika w trywialne kampanie facebookowych oszustów i kto je tworzy?

Komentarze