Użytkownicy Facebooka, uważajcie na wiadomości wyłudzające hasła

dodał 12 grudnia 2017 o 23:09 w kategorii Socjo  z tagami:
Użytkownicy Facebooka, uważajcie na wiadomości wyłudzające hasła

Ludzka natura jest tak skonstruowana, że czasem w obliczu zagrożenia wyłącza się rozsądek a ręka sama wędruje na lewy klawisz myszki. Wiedzą o tym przestępcy i chętnie te procesy wykorzystują by wyłudzać hasła internautów.

Otrzymujemy dzisiaj zgłoszenia o nowej fali ataków na użytkowników Facebooka. Nie ma w nich niczego nowatorskiego, lecz są jak zwykle bardzo skuteczne. Niestety taka jest ludzka natura, że ataki socjotechniczne, łatwe do rozpoznania przez ekspertów w trakcie czytania artykułu, okazują się być trudne do identyfikacji dla zwykłych użytkowników w trakcie korzystania z Facebooka.

Ktoś wrzucił twoje zdjęcia

Atak rozpoczyna się od jednego zainfekowanego użytkownika, który następnie, bez swojej wiedzy, rozsyła wszystkim swoim kontaktom różne wiadomości za pośrednictwem Messengera. Wyglądają one tak:

lub tak:

albo tak:

albo też i tak:

Pod tymi dziwnie wyglądającymi adresami znajduje się fałszywy panel logowania udający serwis Facebooka. Osoby, które podadzą tam swoje dane uwierzytelniające, stają się kolejnymi ofiarami ataku. W tej chwili wszystkie używane przez przestępców domeny są wyłączone, więc nie wiemy jeszcze, jak przebiega kolejna faza ataku – ale domyślamy się, że ofiar nie spotyka nic przyjemnego.

Co mają robić ofiary

Porady mamy dość proste – zmienić hasło do FB, włączyć dwuskładnikowe uwierzytelnienie, przejrzeć zainstalowane aplikacje. Na szczęście wygląda na to, ze Facebook relatywnie szybko zainterweniował i złośliwe wiadomości zniknęły zarówno ze skrzynek nadawców, jak i odbiorców. Możliwe jednak, że atak lada moment powróci z nowym zestawem wiadomości i domen.

Infrastruktura przestępców

Analizując nadesłane zrzuty ekranu zauważyliśmy, że wszystkie domeny przestępców mają 7 liter i były hostowane na podobnych adresach IP. Na tej podstawie sporządziliśmy listę domen i adresów IP, z których mogli korzystać przestępcy:

Po znalezieniu 66 adresów trochę nam się znudziło – wzorzec jest prosty, możecie sami poszukać dalej. Wszystkie domeny zostały zarejestrowane i były hostowane w Nazwa.pl. Co ciekawe, spora ich część (chociaż nie wszystkie) zostały niedawno zablokowane. Te niezablokowane przekierowują dzisiaj np. na Onet. Najstarsze adresy, na jakie trafiliśmy, pochodziły z 23 listopada – co wskazuje, że ataki trwają od około trzech tygodni. To wskazuje na to, że jeszcze trochę potrwają… Ostrzeżcie mniej zorientowanych znajomych.

Dziękujemy Czytelnikom, którzy nadesłali nam informacje o ataku.