Ludzka natura jest tak skonstruowana, że czasem w obliczu zagrożenia wyłącza się rozsądek a ręka sama wędruje na lewy klawisz myszki. Wiedzą o tym przestępcy i chętnie te procesy wykorzystują by wyłudzać hasła internautów.
Otrzymujemy dzisiaj zgłoszenia o nowej fali ataków na użytkowników Facebooka. Nie ma w nich niczego nowatorskiego, lecz są jak zwykle bardzo skuteczne. Niestety taka jest ludzka natura, że ataki socjotechniczne, łatwe do rozpoznania przez ekspertów w trakcie czytania artykułu, okazują się być trudne do identyfikacji dla zwykłych użytkowników w trakcie korzystania z Facebooka.
Ktoś wrzucił twoje zdjęcia
Atak rozpoczyna się od jednego zainfekowanego użytkownika, który następnie, bez swojej wiedzy, rozsyła wszystkim swoim kontaktom różne wiadomości za pośrednictwem Messengera. Wyglądają one tak:
lub tak:
albo tak:
albo też i tak:
Pod tymi dziwnie wyglądającymi adresami znajduje się fałszywy panel logowania udający serwis Facebooka. Osoby, które podadzą tam swoje dane uwierzytelniające, stają się kolejnymi ofiarami ataku. W tej chwili wszystkie używane przez przestępców domeny są wyłączone, więc nie wiemy jeszcze, jak przebiega kolejna faza ataku – ale domyślamy się, że ofiar nie spotyka nic przyjemnego.
Co mają robić ofiary
Porady mamy dość proste – zmienić hasło do FB, włączyć dwuskładnikowe uwierzytelnienie, przejrzeć zainstalowane aplikacje. Na szczęście wygląda na to, ze Facebook relatywnie szybko zainterweniował i złośliwe wiadomości zniknęły zarówno ze skrzynek nadawców, jak i odbiorców. Możliwe jednak, że atak lada moment powróci z nowym zestawem wiadomości i domen.
Infrastruktura przestępców
Analizując nadesłane zrzuty ekranu zauważyliśmy, że wszystkie domeny przestępców mają 7 liter i były hostowane na podobnych adresach IP. Na tej podstawie sporządziliśmy listę domen i adresów IP, z których mogli korzystać przestępcy:
ajvqkyr.pl 85.128.134.230 anlvcqw.pl 85.128.134.230 araqgsy.eu 85.128.134.227 bdqdqxd.eu 85.128.134.232 beeafkl.pl 85.128.134.231 bewygdb.pl 85.128.134.229 bjdvxob.pl 85.128.134.228 cgdqqve.pl 85.128.134.230 csdnosj.eu 85.128.134.227 dlqabln.pl 85.128.134.230 dnamfno.eu 85.128.134.231 dvjvskl.pl 85.128.134.228 eblngqi.eu 85.128.134.230 eczaslp.eu 85.128.134.227 enwptda.pl 85.128.134.231 esbcmfj.pl 85.128.134.231 flmryie.pl 85.128.134.231 fnlkquj.pl 85.128.134.229 gahdrji.eu 85.128.134.227 gcuzuep.eu 85.128.134.228 gmszefn.eu 85.128.134.230 gvjnntu.pl 85.128.134.231 hnlmawq.eu 85.128.134.231 inssnks.pl 85.128.134.229 iynxtvd.pl 85.128.134.232 jcbenfu.eu 85.128.134.228 jhvqmym.eu 85.128.134.229 jqiijhq.eu 85.128.134.227 jqykbzm.eu 85.128.134.229 jvpgwrx.eu 85.128.134.228 jymupxa.pl 85.128.134.229 jzjjmwp.pl 85.128.134.232 kdemqnw.eu 85.128.134.227 kispqud.pl 85.128.134.228 kltxrls.eu 85.128.134.229 lcfzmfj.pl 85.128.134.229 lpfzznq.pl 85.128.134.231 mbkhctz.pl 85.128.134.231 mrygpta.pl ? njisqmu.eu 85.128.134.227 oaghdgc.pl 85.128.134.231 oisdvpw.eu 85.128.134.231 pephxrg.pl 85.128.134.228 phifrti.pl 85.128.134.230 pphrdlb.pl 85.128.134.232 qyqlgnw.eu 85.128.134.232 qyxytqv.eu 85.128.134.229 rgpaumx.pl 85.128.134.229 tehtbvu.pl 85.128.134.230 tehvldq.pl 85.128.134.230 tiboqrc.pl 85.128.134.227 tjqgwao.pl 85.128.134.228 uugqsou.pl 85.128.134.230 vkkuhvf.pl 85.128.134.232 wwinqdk.eu 85.128.134.228 wyttemr.pl 85.128.134.230 xffmqrp.pl 85.128.134.228 xhijakl.pl 85.128.134.228 xuuxnyc.pl 85.128.134.227 xyubzkp.pl 85.128.134.230 yrycyok.eu 85.128.134.229 yzmytzx.eu 85.128.134.231 zquktog.pl 85.128.134.230 zrinqjt.pl ? zrtohtu.pl 85.128.134.229 zshwjso.pl 85.128.134.232
Po znalezieniu 66 adresów trochę nam się znudziło – wzorzec jest prosty, możecie sami poszukać dalej. Wszystkie domeny zostały zarejestrowane i były hostowane w Nazwa.pl. Co ciekawe, spora ich część (chociaż nie wszystkie) zostały niedawno zablokowane. Te niezablokowane przekierowują dzisiaj np. na Onet. Najstarsze adresy, na jakie trafiliśmy, pochodziły z 23 listopada – co wskazuje, że ataki trwają od około trzech tygodni. To wskazuje na to, że jeszcze trochę potrwają… Ostrzeżcie mniej zorientowanych znajomych.
Dziękujemy Czytelnikom, którzy nadesłali nam informacje o ataku.
Komentarze
Aż się zdziwiłem, że to na nazwa.pl :D:D:D:D:D:D:D
Chyba łatwiej dać całą domenę nazwa.pl i nie zainfekowane strony dodawać do białej listy po sprawdzeniu :-P niezła reklama dla tej firmy.
Wbrew pozorom nie ma trywialnego tricku dla prostego automatycznego blokowania (np. poprzez hosts) bez użycia specjalistycznych narzędzi i/lub kogoś ciągle nad tym czuwającego.
Jak siano się zgadza… To nazwa.pl nie będzie protestować :D
Ale tak na dobrą sprawę to co nazwa.pl ma do tego? W wolnym kraju takim jak (jeszcze) Polska każdy ma prawo do korzystania z tej czy innej usługi, w tym przypadku rejestracji domeny i nikt nie powinien robić z tym problemów. Dopiero po zgłoszeniu abuse powinni reagować. A wy ile razy zgłosiliście nadużycie domen do operatora? No właśnie… a najgłośniej krzyczycie ;)
Było wieeele zgłoszeń, ale nazwa.pl utrzymuje, że tego się nie da ustalić bla bla bla itp.
:/ czesc napisalem bo widze na tej stronce: http://105m.1ij.info/ Twoje zdjecia z profilu ktore zostaly przerobione chamsko warto to zglosic zeby ktos skasowal ;/
——-
Oczywiście mam to nadal we wiadomościach i FB z tym niestety nic nie zrobił
Wybrana została nazwa.pl, bo o ile dobrze pamiętam dają darmowe domeny pl :) Więc co jak co, ale im się hajs chyba zbyt szczególnie nie zgadza.
A moze to inny powod? Adam z z3s w tym roku mial fajny wyklad o niejakim Thomas. Tez korzystal/korzysta z nazwa.pl. Przykre ale czesto ta wlasnie firma jest podawana.
Ja jestem ciekaw, jakim kretynem trzeba być,żeby się logować do „FB” kiedy w pasku adresu jest jakaś lipna domena.
Najwyraźniej nie ma dobrego mechanizmu do uruchomienia szarych komórek u użyszkodników FB.
Pozdro
Gdzie zgłaszać ewidentne strony phishingowe? Chodzi mi o jakieś strony z formularzem. Ostatnio zgłaszałem google i eset. I różnie z tym bywa czasem reagują w ciągu kilku godzin, a czasem nawet po 1 dniu strona dalej wisi jako „zdrowa”.