szukaj

03.02.2019 | 21:59

avatar

Adam Haertle

Sprytny facebookowy wyłudzacz i jego kilkadziesiąt domen i scenariuszy

Zaczęło się jak zwykle – od zgłoszenia Czytelnika. Kilka kliknięć później znaliśmy już historię całkiem sporego przedsięwzięcia, skoncentrowanego na oszukiwaniu użytkowników Facebooka. Wśród nich są Was znajomi – przeczytajcie, jak im pomóc.

Wiemy, że są wśród Was osoby, które widząc, jak znajomy wrzuca coś niebezpiecznego na Facebooka, mówią „nawet mi go nie żal”. Jeśli to akurat Ty – zamknij zakładkę. Jeśli jednak chcecie zmieniać internet, sprawiać, by sieć była bezpieczniejsza dla użytkowników, a życie trudniejsze dla przestępców, to witajcie w klubie i zapraszamy do lektury.

Zgwałcono córkę znajomej

Od kilku dni na Facebooku pojawiają się następujące wpisy, publikowane z kont prawdziwych użytkowników:

PROSZE O POMOC!! ZGWALCONO CORKE ZNAJOMEJ!!

VIDEO ZE ZDARZENIA(JESLI KTOS ROZPOZNAJE SPRAWCOW PROSZE O KONTAKT)

hxxps://www.evernote.com/shard/s474/sh/56fae9f5-d769-4530-bfef-00fa50503b5f/c7da41c7ea505d5cc09533b47b8db51d

Nie da się ukryć, że to dość dramatyczne wołanie o pomoc. Co kryje się pod linkiem?


Link prowadzi do witryny http://wiadomosci-onet24.pl/, ale o tym za chwilę.

Dlaczego przestępca używa Evernote, popularnej aplikacji do robienia notatek? Po pierwsze, Facebook widzi tylko niewinnego linka do Evernote i nie ma powodu banować całej domeny ani uznawać jej za złośliwą. Po drugie, przestępca może zarządzać notatką i podmieniać znajdujący się w niej link na wypadek, gdyby na przykład przeglądarki uznały go za złośliwy.

Film, którego nie ma

Witryna docelowa wygląda następująco:

Próba uruchomienia filmu kończy się wyłudzeniem danych do logowania do Facebooka. Stąd też publikacje tych linków, wrzucanych przez Waszych znajomych.

Po wykradzeniu danych do logowania przestępca dodatkowo przekierowuje ofiarę do kolejnych stron, gdzie można podać swoje dane osobowe i zostać ofiarą kolejnych oszustw.

Kilkadziesiąt domen, różne scenariusze

Analizując działalność sprawcy, natrafiliśmy na domenę http://dawajpliki.eu/, która zbiera pozostałe adresy pod jednym dachem. Oto lista domen przestępcy:

dawajpliki.eu
ergebnisse.ml
ero-face18.ga
ero-face18.ml
ero-face181.ml
maszbranie.pl
meet-local-girls.ml
meet-local-girls.tk
news-onet24.pl
newsy-onet24.pl
odbiierz-nagrode.ml
odbiierz-nagrode.tk
onet-wiadomosci-tv.cf
onet-wiadomosci-tv.ga
onet-wiadomosci-tv.gq
onet-wiadomosci-tv.ml
onet-wiadomosci-tv.tk
potwierdz-dane.pl
potwierdzswojedane.ga
potwierdzswojedane.ml
potwierdzswojedane.tk
uzupelniajdane.cf
uzupelniajdane.ga
uzupelniajdane.gq
uzupelniajdane.ml
uzupelniajdane.tk
weryfiikacja.ml
weryfiikacja.tk
weryfikacja-danych.cf
weryfikacja-danych.ga
weryfikacja-danych.gq
weryfikacja-danych.ml
weryfikacja-danych.tk
weryfikacjadanych.ml
weryfikacjadanych.tk
weryfikuj-sie.ml
weryfikuj-sie.tk
weryfikujdane.tk
wiadomosci-onet24.ml
wiadomosci-onet24.pl
wiadomosci-onet24.tk
wiadomosci-tv24-onet.eu
www.zweryfiikujdane.tk
zobacz-wyniki-konkursu.ml
zobacz-wyniki-konkursu.tk
zweryfiikujdane.ml
zweryfiikujdane.tk
zweryfikuj-sie.eu
zweryfikuj-sie.pl

Jak widać, jest to operacja „budżetowa” – większość domen jest darmowych (a pozostałe zapewne z darmowych promocji w Nazwa.pl). Przestępca celuje głównie w polskie ofiary, ale od czasu do czasu próbuje także swoich sił w innych krajach. Ten serwer funkcjonuje od września 2018, ale zapewne wcześniej przestępca działalność prowadził z innych adresów. W większości przypadków celem jest wyłudzenie danych logowania do Facebooka, lecz nie brakuje innych scenariuszy, takich jak wyłudzenie danych osobowych:

lub danych kart kredytowych:

Wrzucił to ktoś z moich znajomych, co robić?

Osoby, które wykradają hasła do Facebooka, nie oglądają zdjęć z wakacji. Zamiast tego podszywają się pod swoje ofiary i wyłudzają pieniądze od ich bliskich – i robią to bardzo skutecznie. Nie jest to zatem „to tylko hasło do Fejsa”, a dużo poważniejszy problem. Jeśli chcecie innym pomagać, zamiast się z nich wyśmiewać, to gdy zobaczycie taki post na Facebooku znajomego lub znajomej, przekażcie im następujące wskazówki:

  1. Ktoś włamał się na Twoje konto Facebooka i publikuje na nim w Twoim imieniu.
  2. Zmień hasło do Facebooka (tu instrukcja: https://www.facebook.com/help/248976822124608/).
  3. Jeśli hasło do poczty było takie samo, jak hasło do Facebooka, zmień też hasło do poczty (i inne ważne, jeśli były identyczne).
  4. Sprawdź, czy ktoś nie dodał Ci do konta złośliwej aplikacji (tu instrukcja: https://www.facebook.com/help/942196655898243/).
  5. Aby uniknąć podobnych sytuacji w przyszłości, ustaw uwierzytelnienie dwuskładnikowe (tu instrukcja: https://www.facebook.com/help/2FAC).

Jeśli tylko możecie, przekażcie instrukcję inaczej niż przez Facebooka – idealnie osobiście lub przez telefon, na inną skrzynkę, niż skojarzona z Facebookiem lub ostatecznie e-mailem na główną skrzynkę pocztową ofiary. Udostępnijcie także tę instrukcję, może uda się kogoś uratować przed problemami.

Powrót

Komentarze

  • avatar
    2019.02.03 22:08 JC Denin

    >2010+9
    > fejsbuk
    nawet mi was nie żal

    Odpowiedz
    • avatar
      2019.02.04 10:35 xx

      Łoh, ależ ty edży bez fejsbuka. A prawo studiujesz?

      Odpowiedz
  • avatar
    2019.02.03 22:14 Staly czytasz

    Ech to zycie bez Fejsatego… piekne jest!

    Odpowiedz
  • avatar
    2019.02.03 22:39 Top

    Dobry tekst.
    Z jednej strony dziwię się temu przestępcy, że nie użył danych z Collection #1-5. Te polskie, tak na 80% są ciągle poprawnymi danymi do FB i maila.

    Odpowiedz
    • avatar
      2019.02.04 00:47 spear phishing

      może użył a phishing jest wysyłany do osób których emailów nie ma w bazach

      Odpowiedz
  • avatar
    2019.02.04 11:00 no comment

    Kara Boska za konta na szoczjalach :)

    Odpowiedz
  • avatar
    2019.02.04 15:47 kamil

    to zamykam zakładkę

    Odpowiedz
  • avatar
    2019.02.04 22:40 Karol

    Ludzie sami są sobie winni że udostępniaja swoje dane dla nie autoryzowanych stron. A przecież tyle się mówi o ssl, o nie klikania w linki z nie zaufanych źródeł

    Odpowiedz
  • avatar
    2019.02.04 22:41 Pawel

    I Cyber wybral nazwe do uslug – ironia?

    Odpowiedz
  • avatar
    2019.02.05 09:50 m__b

    Nie ruszajcie hasła na Facebooku bo macie 50% szans, że upośledzona umysłowo sztuczna inteligencja zmusi was do podania numeru telefonu w celu weryfikacji

    Odpowiedz
  • avatar
    2019.02.07 11:28 Tymek

    Czy ktoś wie jak usunąć śledzika?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Sprytny facebookowy wyłudzacz i jego kilkadziesiąt domen i scenariuszy

Komentarze