Seria facebookowych oszustw, w które ciągle klikają Wasi znajomi

Od wielu tygodni na Facebooku pojawiają się fałszywe, choć z pozoru wiarygodnie wyglądające sensacyjne wiadomości. Mnóstwo użytkowników mniej lub bardziej nieświadomie udostępnia je dalej, pomagając w zorganizowanym procederze wyłudzeń.

Kilka dni temu studenci koła naukowego „CyberSecurity” z WATu podesłali nam ciekawą analizę fragmentu prowadzonej na Facebooku kampanii wyłudzania opłat za wysokopłatne wiadomości SMS. Temat jest interesujący (i rozwojowy), zatem zapraszamy do lektury.

Oszustwa, manipulacje i wyłudzenia

Jako koło naukowe zajmujące się tematyką cyberbezpieczeństwa na Wydziale Cybernetyki Wojskowej Akademii Technicznej aktywnie monitorujemy media społecznościowe pod kątem nowych kampanii wykorzystujących mechanizmy oszukiwania użytkowników w celu wymuszenia nieświadomych kliknięć powodujących określone działania (clickjacking). Polegają one na wyświetleniu na stronie elementów graficznych i zachęceniu użytkownika do kliknięcia w nie. W rzeczywistości pod tymi elementami ukryte są fragmenty serwisu Facebooka, powodujące np. nieświadome udostępnienie wiadomości na profilu użytkownika. Mechanizm ten niestety jest bardzo skuteczny.

Ostatnimi czasy na Facebooku zaczęła królować nieźle przygotowana kampania wyłudzającą opłaty za wiadomości SMS premium, wykorzystując w celu rozprzestrzeniania się właśnie metodę clickjackingu. Przykładowy początek ataku wygląda następująco:  

Przykładowy wpis – przynęta

Użytkownik jest wabiony na stronę kontrowersyjnym tematem, jednak dostęp do niej wymaga wypełnienia testu CAPTCHA, który trzeba przejść, aby odblokować rzekomy materiał:

Drugi etap ataku

Podczas zaznaczania trzeciego pola użytkownik klika w ukrytą ramkę IFRAME, w której znajduje się przycisk „Udostępnij”. Powoduje to, że jeżeli jest zalogowany na Facebooku, podzieli się postem na swojej tablicy. Jest to typowy atak typu clickjacking.

Gdy użytkownik poprawnie zaznaczy wszystkie pola jego oczom ukazuje się strona z filmem do którego chciał uzyskać dostęp. Okazuje się jednak, że aby go obejrzeć trzeba zweryfikować że ma się 18 lat. Metodą weryfikacji jest wysłanie wiadomości SMS premium na numer 75480. Koszt takiej wiadomości w tym scenariuszu to 5 zł (inne warianty przewidują również wiadomości za 25 PLN).

Trzeci etap oszustwa

Co charakterystyczne dla tego rodzaju oszustw. na stronie widnieje „regulamin” nadający całej akcji pozorów legalności, opisujący zupełnie inną usługę niż ta, którą użytkownik rzekomo kupuje (nie ma mowy o odtwarzaniu filmów, a jedynie zakupie wirtualnych punktów umożliwiających otrzymanie równie wirtualnych nagród).

Postanowiliśmy przeanalizować mechanizm dzielenia się postem na swojej tablicy. Analizując fragment kodu JavaScript odpowiedzialny za wyświetlanie captchy i IFRAME odczytaliśmy treść linka w który klika użytkownik wypełniając pole numer 3. Po jego otworzeniu ukazuje się facebookowy przycisk “Udostępnij” w języku serbskim (to popularny trik mający zmylić ewentualne próby analizy).

W kodzie źródłowym znaleźliśmy skrypt z zaszytym na stałe adresem postu, którym podzieli się użytkownik. Był to ten sam post, z którego trafiliśmy na tę kampanię.

Zaciemniony kod

Jako że adres strony, na której ten skrypt się znajdował zawierał parametr GET <viral_uid>, postanowiliśmy sprawdzić co się stanie, gdy go zmienimy. W ten sposób udało nam się znaleźć wszystkie aktywne kampanie wykorzystujące tę stronę w swoich atakach. Posty dotyczyły wielu różnych tematów. Poniżej prezentujemy statystyki.

W momencie skanowania w zakresie identyfikatorów od 0 do 1000 aktywne były 433 linki, dość regularnie rozłożone w zakresie 0..549.

Na dzień 30-10-2015 22:51 w kampanii wykorzystane zostały 171 konta użytkowników. W różnych wydaniach odbywała się ona od 24 sierpnia do dzisiaj. Jej dynamikę przedstawia następujący wykres:

Aktywność kampanii – ilość udostępnień postów wg dni

Widzimy na nim łączną liczbę udostępnień postów w danych dniach.

W kampaniach używane było 77 domen. W poniższej tabeli widzimy 5 najczęściej wykorzystywanych:

Najczęściej używane domeny

Na stronie freshinfo.waw.pl możecie znaleźć bezpośrednie linki do kilku przypadków opisywanego przez nas powyżej ataku. Ciekawe są także statystyki popularności poszczególnych wpisów, czyli na co najczęściej nabierali się użytkownicy:

Statystyki popularności

Liczba udostępnień sięgająca tysięcy pokazuje, jak bardzo łatwo użytkownicy Facebooka dają się złapać na te przynętę i napędzają klientów oszustom. Niestety widać także, że Facebook nie za dobrze radzi sobie z blokowaniem tego typu działalności. Poniżej znajdziecie galerię kilku ostatnich oszustw.

face08

face09

face10

face11

face12

face13

Marcin Dudek, Mariusz Litwin, Rafał Maliszewski, Krzysztof Filipowicz, Dominik Sabat, Koło Naukowe “CyberSecurity”

Komentarz redakcji

Przede wszystkim bardzo się cieszymy, że nie tylko istnieją koła naukowe zajmujące się bezpieczeństwem, ale także zamiast prowadzić jałowe dyskusje faktycznie zajmują się bieżącymi problemami i pomagają społeczeństwu analizując zagrożenia czyhające w sieci. Gratulujemy i liczymy na więcej tego typu inicjatyw. Opisany powyżej przypadek jest ciekawym materiałem badawczym – to tylko drobny wycinek działalności grupy oszustów stojących za tymi serwisami. Wtyczki do przeglądarek, fałszywe serwisy streamingowe, fałszywe serwisy obiecujące nagrody – skala działalności oszustów robi faktycznie wrażenie. Warto ostrzec przed nimi znajomych.

Przy okazji możecie także pomyśleć o przeszkoleniu Waszych pracowników – zagrożeń jak widać nie brakuje.