12.05.2019 | 12:48

Adam Haertle

Uwaga na złośliwe reklamy atakujące w największych polskich serwisach

Od wczoraj obserwujemy wysyp złośliwych reklam, wyskakujących na ekranach telefonów w trakcie przeglądania najpopularniejszych polskich serwisów internetowych. Brak rozsądku może prowadzić do utraty ponad 200 złotych.

Od wczoraj rejestrujemy zgłoszenia ciekawych ataków. Polscy internauci w czasie przeglądania witryn Rzeczpospolitej (rp.pl), RMF (rmf.fm), Business Insidera czy Sadistica są przekierowywani na witrynę udającą konkurs, w którym można wygrać telefon. Witryna jest dość przekonująca, a sam „konkurs” prowadzi do wyłudzenia sporych kwot. Atak przeprowadzany jest za pomocą sieci reklamowej, z której korzystają wszystkie wymienione wyżej serwisy.

Jak wygląda przebieg ataku

Pierwszym krokiem jest odwiedzenie artykułu w jednym z atakujących serwisów. Po przewinięciu ekranu do miejsca, gdzie znajduje się złośliwa reklama, następuje automatyczne przekierowanie na stronę http://gift.gifts-for-free.online, gdzie ofiara widzi odpowiedni ekran (w zależności od tego, z usług jakiego operatora korzysta):

Akurat nie mamy zgłoszenia użytkowników Plusa, ale zapewne widzą odpowiednią wersję. Kolejne kroki są banalne.

Najpierw trzeba odpowiedzieć na 11 trywialnych pytań dotyczących sposobu korzystania z sieci. Odpowiedzi nie mają znaczenia – wszystkie są bardzo dobre. Po „weryfikacji odpowiedzi” otrzymujemy szansę przejścia do kolejnego etapu.

Tym razem po kliknięciu w guzik „OK” trafiamy na stronę cs.nailrr.com, gdzie możemy odebrać Samsunga Galaxy S9 (choć wcześniej miało być S10, no ale trudno). W przeciwieństwie do poprzednich, podobnych oszustw, tutaj trzeba uiścić opłatę w wysokości 15 PLN (wcześniej była tylko bezpłatna weryfikacja). Lektura regulaminu na tym etapie może odrobinę pomóc w uchronieniu się przed stratą pieniędzy.

W regulaminie wyczytamy bowiem, że opłata oznacza jedynie rejestrację w konkursie, w którym mamy szansę wygrania Galaxy S9 i wylosowany ma być jeden zwycięzca na 600 uczestników. Co ciekawe, najbliższe losowanie odbędzie się już 30 kwietnia 2019, więc szanse nie wynoszą nawet 1/600, a raczej 0/600. Co więcej, subskrypcja usługi, za którą właśnie płacimy 15 PLN, to promocja na pierwsze 5 dni – jeśli w tym terminie nie wypowiemy umowy (tracąc szansę na „wygraną”), to szóstego dnia nasza karta zostanie obciążona kwotą 199 PLN i kolejnymi analogicznymi kwotami co 30 dni aż do momentu, gdy zorientujemy się, że nie chcemy jednak tych obciążeń na karcie.

Jak działa ten atak

Próbowaliśmy nagrać przebieg pierwszego etapu ataku, lecz bez powodzenia. Stacjonarna przeglądarka, udająca telefon, połączona przez sieć komórkową, nie podobała się najwyraźniej reklamodawcom, których interesują tylko użytkownicy smartfonów. Jeśli uda się wam nagrać ten atak, prosimy o kontakt. Ciekawy musi być też sposób przekierowania strony, zapewne wykorzystujący podatność przeglądarki lub przynajmniej jakieś jej niedoskonałości. Pierwszy URL, na którym lądują ofiary, to na przykład:

http://gift.gifts-for-free.online/lucky-888/PL-CC-S10/play/index.html
http://gift.gifts-for-free.online/lucky-888/PL-CC-S10/T-Mobile/index.html
http://gift.gifts-for-free.online/lucky-888/PL-CC-S10/orange/index.html

Analiza domeny gifts-for-free.online wskazuje, że kampania ma zasięg międzynarodowy – możecie to zobaczyć chociażby po takich linkach z Singapuru, Australii, USA, Hiszpanii, Włoch, Szwecji, Francji, Szwajcarii czy Nowej Zelandii :

http://gift.gifts-for-free.online/lucky-888/SG-CC-S10/Singtel/index.html
http://gift.gifts-for-free.online/lucky-888/AU-CC-S9/TPG-s9/index.html
http://gift.gifts-for-free.online/lucky-888/US-CC-S10/T-Mobile/index.html
http://gift.gifts-for-free.online/lucky-888/ES-CC-S10/ES-CC-movistar-10/index.html
http://gift.gifts-for-free.online/lucky-888/IT-CC-S10/IT-CC-TIM-S10/index.html
http://gift.gifts-for-free.online/lucky-888/SE-CC-s9/SE-Telia-S9/index.html
http://gift.gifts-for-free.online/lucky-888/FR-CC-S10/FR-Free-CC-S10/index.html
http://gift.gifts-for-free.online/lucky-888/CH-CC-s9/CH-CC-Swisscom-s9/index.html
http://gift.gifts-for-free.online/lucky-888/NZ-CCs9/NZ-CC-Spark/index.html

Nie wiemy niestety, która sieć reklamowa jest nośnikiem ataku – na wszystkich wymienionych stronach jest ich zbyt dużo, by tylko z tego elementu wnioskować. Jest to jednak kolejny argument za walką o możliwość używania AdBlocka w telefonach. Jak do tej pory wszystkie zgłoszenia, które otrzymaliśmy, dotyczyły wyłącznie użytkowników iPhone’ów i Safari. Niewykluczone, że ten atak wycelowany jest właśnie w tę grupę – reklamodawca może na żywo wybierać, komu wyświetli złośliwy kod, a komu nie. Czekamy także na inne wasze zgłoszenia, może rodzajów ofiar jest więcej.

Tutaj powinniśmy wstawić reklamę naszych wykładów opisujących podobne ataki, ale i tak nie ma już wolnych terminów przed wakacjami, więc sobie odpuścimy ;)

Powrót

Komentarze

  • 2019.05.12 12:57 W

    Używam Adblock browsera na androidzie i zdażyła się próba przekierowania na stronę w sadisticu ale Adblock browser poinformował o takiej próbie i dał możliwość zablokowania przekierowania.

    Odpowiedz
    • 2019.05.13 11:02 Paweł Nyczaj

      Dla iPhone też są adblocki. Fajny jest 1Blocker X, który świetnie współpracuje przez iCloud z apką 1Blocker (na razie bez „X”) dla MacOS

      Odpowiedz
      • 2019.05.13 13:26 Ipad

        A coś na iPada ale pod Chrome?

        Odpowiedz
      • 2019.05.13 13:40 dr0n

        …reklama..

        Odpowiedz
  • 2019.05.12 13:14 Observer

    Przecież płatność kartą oferuje chargeback. To jak ten oszust ma zarobić, gdy VISA/MasterCard zażąda zwrotu tych środków?

    Odpowiedz
    • 2019.05.12 13:16 Adam Haertle

      Opcja 1: Część ofiar się nie zgłosi
      Opcja 2: Firma na słupa, bez majątku, nie ma z czego oddać.
      Pewnie obie istotne…

      Odpowiedz
      • 2019.05.12 15:48 Michał

        Ale w 2 przypadku klient kasę dostanie, stratna będzie organizacja kartowa.

        Odpowiedz
        • 2019.05.12 17:13 pw

          zalecam trochę mniej optymizmu w sprawie chargebacku, np nestbank odmówił i już… -na zasadzie nie mamy panskiego plaszcza i co pan nam zrobi:))

          Odpowiedz
          • 2019.05.12 17:16 Adam Haertle

            Ciągnąłeś sprawę do Rzecznika Finansowego?

          • 2019.05.13 12:39 radek

            Chargeback się chyba robi u wystawcy karty, a nie w banku. Banki to by najchętniej zawsze odmawiały, bo to dla nich kłopot.

          • 2019.05.14 22:52 Przemyslaw

            W citibanku chargeback zawsze bez problemu. Wystarczy telefon na infolinię i wypełnienie formularza.

  • 2019.05.12 13:32 Kuba

    „w zależności od tego, z usług jakiego operatora korzysta” – nie do końca tak… Ja mam kartę Play a wyświetliła mi się reklama Orange. Powodem jest to, że mam ręczny wybór sieci na Orange.

    Odpowiedz
    • 2019.05.12 15:50 Michał

      Na iPhonie? Przeglądarka nie widzi sieci, a APN jest cały czas ten sam i niezależnie od tego z jakiej sieci korzystasz widać Cię jako P4. Może byłeś podpięty pod WiFi z netem Orange?

      Odpowiedz
      • 2019.05.12 17:10 Observer

        APN nie ma tu wiele do rzeczy. Reklama przekierowuje na odpowiednie podstrony na podstawie geolokalizacji po numerze IP.

        Odpowiedz
        • 2019.05.12 18:41 Michał

          O tym właśnie mówię, bo korzystając z roamingu (zarówno krajowego jak i zagranicznego) ma się nadal IP swojego operatora, a nie tego, pod którego jesteśmy podłączeni.

          Odpowiedz
  • 2019.05.12 14:03 Zaatakowany

    Plus też, jak i gazeta.pl. Ten atak powtarza się dość regularnie, dziwne, że dopiero teraz został opisany.

    Odpowiedz
  • 2019.05.12 14:20 Pikolo

    Firefox na Androidzie ma możliwość używania wszystkich dodatków z wersji stacjonarnej – uBlock Origin, Privacy Badger i https everywhere działają bez problemu.

    Odpowiedz
  • 2019.05.12 14:28 Sarr

    „Po przewinięciu ekranu do miejsca, gdzie znajduje się złośliwa reklama, następuje automatyczne przekierowanie na stronę”

    Takie coś powinno być zabronione. Od kiedy to przeskrolowanie w dane miejsce strony jest traktowane jak kliknięcie?

    Odpowiedz
  • 2019.05.12 14:36 Grzegorz

    OpenDNS is Quad9 ciągle tłumaczą domenę na adres IP.

    Odpowiedz
  • 2019.05.12 14:57 Łukasz

    Pokazał mi się ten atak (RP.pl lub bankier.pl). Używam androida i Firefoxa z adblockiem

    Odpowiedz
    • 2019.05.13 10:22 mihix

      To pewnie przez ostatnie problemy Firefoxa z dodatkami

      Odpowiedz
  • 2019.05.12 15:52 Michał

    U mnie jeszcze nic. Safari z AdGuardem.

    Odpowiedz
  • 2019.05.12 18:30 Krzysztof

    U mnie były dwie próby przekierowanie z flashscore.pl na tę domenę. Orange jednak blokował i informował o tym mnie jako użytkownika. Przekierowywanie nastepowalo samoistnie bez klikania w dodatkowe linki …

    Odpowiedz
  • 2019.05.12 20:10 Łukasz

    Hmmm… „nie ma wolności mediów bez oglądalności reklam”.

    Odpowiedz
  • 2019.05.12 21:41 Zeratul

    LOL @ wykłady

    Odpowiedz
  • 2019.05.12 23:16 laik

    „ofiara widzi odpowiedni ekran (w zależności od tego, z usług jakiego operatora korzysta)”
    Wybaczcie być może głupie pytanie, ale jestem dość dużym laikiem…Jak techniczne strona rozpoznaje z jakiej sieci korzystamy? Porównuje nasz adres IP z adresami danego Operatora w bazie IANA? Czy jest jakiś inny mechanizm?

    Odpowiedz
  • 2019.05.13 01:28 gosc

    Podobno gdyby nam tylko 1zl ukradziono to warto to zglosic.
    1zl to niby nic, ale milion zlotowek to juz 1 mln zl.
    I w pozwie zbiorowym, moze 50%, czyli 50gr dla pojedynczych osob da sie odzyskac.
    Moze faktycznie zyjac za 1$ miesiecznie w biednym kraju o liberalnym prawie, te 1 mln zlotych to niezly majatek i teoretycznie wystarczy na 20833 lat.
    Wydaje mi sie celem sa osoby przede wszystkim ktore nigdy takich reklam nie widzialy, albo osoby ktore jeszcze nie wiedza ze zadnej szansy na wygranie nie maja.
    Moze adblock dobry, ale zabezpieczenie naszych rodzicow lub uswiadamianie i uswiadamianie naszych dzieci jest lepsze, bo niektorzy ogladaja reklamy, by obejrzec tresci niektorych stron.
    Oczywiscie niektorym nie da sie ani zabronic, ani wytlumaczyc i trzeba sie z tym pogodzic.

    Odpowiedz
  • 2019.05.13 10:31 syshha

    firefox z nano adblocker i nano defender + pi-hole po vpn i po problemie.

    Odpowiedz
  • 2019.05.13 12:54 ciekawski

    Podepnę się pod temat. Wchodząc Z GOOGLE na stronę akwawit.eu lub na http://www.dolina-wierzby.pl/o-mnie tez jestem przekierowywany na strone z jakąś fałśzywą ankietą nha temat wygrania Iphonea itp.

    Dzieje się tak tylko za pierwszym razem, robię to z komputera stacjonarnego.

    Mój komp jest raczej wolny od infekcji (przynajmniej wg superantispyware, malwarebytes i windows defendera), więc czy to oznacza, że te strony są zainfekowane?

    Wpiszcie w google akwawit albo dolina wierzby i dajcie znać czy u Was też tak się dzieje, jak wejdziecie na te strony.

    Odpowiedz
    • 2019.05.13 20:10 wk

      @ciekawski

      Spróbuj sprawdzić, czy usunięcie ciasteczek pomoże

      Odpowiedz
  • 2019.05.13 13:32 Grzegorz93

    Jakie reklamy? AdGuard :-)

    Odpowiedz
  • 2019.05.13 13:49 Grzegorz

    Takie przekierowanie jest z poziomu iframe serwera 3rd party reklam wykorzystujące feature przeglądarki – można top.href ustawić bez problemu i przekierować w dowolne miejsce

    Odpowiedz
  • 2019.05.13 13:58 Niema

    To nie jest atak, ale po prostu afiliacyjna kampania reklamowa. Tego typu oferty znajdują się w bazach sieci afiliacyjnych na całym świecie, ale do Polski wchodzą dopiero teraz, bo dopiero niedawno zaczęło się to opłacać. W innych krajach to standard. Dziwne, że sieć reklamowa zaakceptowała takie reklamy, ale z drugiej strony każde zabezpieczenia da się obejść. O co chodzi w tej kampanii? Działa to tak, że Publisher, który uzyskuje dostęp do oferty promuje ją własnymi środkami i otrzymuje płatność za każdą konwersję. Reklamodawca, czyli właściciel oferty ma zwykle wywalone jakimi środkami Publisher konwersję pozyska. Stąd tak agresywna kampania. Jeśli chargeback nie zadziała, to nie ma innych szans na zwrot pieniędzy. Zamiast jednak informować o ataku, warto poinstruować ludzi, że jeśli coś wygląda na zbyt piękne by było prawdziwe, to nie podawać danych karty! Omijać szerokim łukiem i .. zgłaszać reklamy! Co ciekawe, proceder jest właściwie w pełni legalny. Pozdrawiam.

    Odpowiedz
    • 2019.05.13 17:05 Adam Haertle

      To JEST atak. Przekierowuje użytkowników bez ich zgody/interakcji na złośliwą stronę. Tam są oszukiwani – to JEST NIELEGALNE, zwykłe oszustwo. Tak, można oszukiwać zapisując jednocześnie „prawdę” małym drukiem. Wprowadzanie w błąd też jest ściganie.

      Odpowiedz
      • 2019.05.13 20:27 Marcin

        Z drugiej strony jak się zastanowić to faktycznie nie jest atak przecież te witryny wypuszczają to same poprzez skrypty js itp. Tu nie ma mowy o XSS. Warto zwróci też uwagę na to, że te reklamy dotyczą telefonów, a niekiedy ich design przypomina wręcz oryginalna stronę. Moim zdaniem to właśnie operatorzy powinni odpowiadać za to co wypuszczają na swoich stronach, tak samo i inne serwisy. Problem w tym, że oni mają to gdzieś, a polskie prawo jest tak dziurawe, że nawet nie wiadomo komu taki incydent zgłosić.

        Odpowiedz
  • 2019.05.13 19:42 Marcin

    Więcej skryptów JS o ciasteczka, GDPR itp. Zero panowania nad tym skąd są skrypty czy są bezpieczne i czy domena na której są hostowane przypadkiem nie zmieniła właściciela. Brawo dla wszystkich

    Odpowiedz
  • 2019.05.13 21:13 Jurek

    Ciekawe czy to Robert Gryn i Codewise, bo wygląda jak scam w ich stylu.

    Odpowiedz
  • 2019.05.14 12:47 Rox

    Ja mam Adguard i nic mi na powyzszych stronach nie wyskakuje .

    Odpowiedz
  • 2019.05.14 20:07 Stachu

    Ileż wspaniałych rzeczy omija mnie z powodu nieposiadania smartfona i filozofii „telefon ma służyć tylko do dzwonienia”.

    Odpowiedz
  • 2019.05.15 19:59 Irol

    Ta reklama była także wyświetlana przez Google w mobilnej wersji gmaila w 2 górnych linijkach adsense. Wygrać można było iPhone, Samsunga lub tablety.

    Odpowiedz
  • 2019.05.16 17:59 DecryptMe

    Trzeba mieć nie pełne 15 IQ żeby dawać się na to nabrać.

    Odpowiedz
    • 2020.03.08 12:35 Marta

      Trzeba być wyjątkowo wrednym człowiekiem, żeby tak napisać. Zdażyć się moze każdemu , szczególnie starszym ludziom.

      Odpowiedz
  • 2019.05.16 22:55 Fafik

    Ja bym sugerował redakcji żeby z nudów wzięła jakiś telefon z androidem i zobaczyła z czym on się łączy POMIMO braku wyrażenia zgody. Próbuję właśnie „odpluskwić” stockowy telefon asusa i powoli dochodzę do wniosku że systemu nie da się naprawić – jest naszpikowany dokładnie jak ambasada amerykańska w moskwie. W razie potrzeby służę wskazówkami – zupełnie jak z gemiusem mbanku…

    Odpowiedz
  • 2019.05.20 07:43 HardwareBased

    apel by operatorow czynic odpowiedzialnymi ?!. Do winowajcow zaliczyl bym jedynie: banki za wplaty na słupy, rynek reklamowy ktory juz od dawna zjada wlasny ogon i wypacza swiadomosc, rzeczone 15 IQ jako pierwotna przyczyne prawie wszystkiedgo. co do technologii to dopuscilismy w takim oto smartfonie do mariażu techniki z dostawcami tresci i odbiorcami metadanych przy utracie kontroli nad systemem operacyjnym. Te swoiste monopole tworzą mozliwosci. Pokusa jest zbyt wielka. Nazywanie tego atakiem to tylko utwierdzanie nas w przekonaniu ze monopolom wolno a innym nie. Moze w preferencjach firewalli 'ósmej’ warstwy wpisywac bedziemy np. przekonania i wyznanie tak by telefon nie wyswietlal nam niechcianych tresci cos jak rodzice chroniacy wlasne dzieci :)

    Odpowiedz
  • 2019.05.21 11:40 kostarika

    Przeglądarka Brave na telefonie ma już adblock i inne pożyteczne, więc można śmiało używać.

    Odpowiedz

Zostaw odpowiedź do W

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na złośliwe reklamy atakujące w największych polskich serwisach

Komentarze