12.12.2017 | 23:09

Adam Haertle

Użytkownicy Facebooka, uważajcie na wiadomości wyłudzające hasła

Ludzka natura jest tak skonstruowana, że czasem w obliczu zagrożenia wyłącza się rozsądek a ręka sama wędruje na lewy klawisz myszki. Wiedzą o tym przestępcy i chętnie te procesy wykorzystują by wyłudzać hasła internautów.

Otrzymujemy dzisiaj zgłoszenia o nowej fali ataków na użytkowników Facebooka. Nie ma w nich niczego nowatorskiego, lecz są jak zwykle bardzo skuteczne. Niestety taka jest ludzka natura, że ataki socjotechniczne, łatwe do rozpoznania przez ekspertów w trakcie czytania artykułu, okazują się być trudne do identyfikacji dla zwykłych użytkowników w trakcie korzystania z Facebooka.

Ktoś wrzucił twoje zdjęcia

Atak rozpoczyna się od jednego zainfekowanego użytkownika, który następnie, bez swojej wiedzy, rozsyła wszystkim swoim kontaktom różne wiadomości za pośrednictwem Messengera. Wyglądają one tak:

lub tak:

albo tak:

albo też i tak:

Pod tymi dziwnie wyglądającymi adresami znajduje się fałszywy panel logowania udający serwis Facebooka. Osoby, które podadzą tam swoje dane uwierzytelniające, stają się kolejnymi ofiarami ataku. W tej chwili wszystkie używane przez przestępców domeny są wyłączone, więc nie wiemy jeszcze, jak przebiega kolejna faza ataku – ale domyślamy się, że ofiar nie spotyka nic przyjemnego.

Co mają robić ofiary

Porady mamy dość proste – zmienić hasło do FB, włączyć dwuskładnikowe uwierzytelnienie, przejrzeć zainstalowane aplikacje. Na szczęście wygląda na to, ze Facebook relatywnie szybko zainterweniował i złośliwe wiadomości zniknęły zarówno ze skrzynek nadawców, jak i odbiorców. Możliwe jednak, że atak lada moment powróci z nowym zestawem wiadomości i domen.

Infrastruktura przestępców

Analizując nadesłane zrzuty ekranu zauważyliśmy, że wszystkie domeny przestępców mają 7 liter i były hostowane na podobnych adresach IP. Na tej podstawie sporządziliśmy listę domen i adresów IP, z których mogli korzystać przestępcy:

ajvqkyr.pl 85.128.134.230
anlvcqw.pl 85.128.134.230
araqgsy.eu 85.128.134.227
bdqdqxd.eu 85.128.134.232
beeafkl.pl 85.128.134.231
bewygdb.pl 85.128.134.229
bjdvxob.pl 85.128.134.228
cgdqqve.pl 85.128.134.230
csdnosj.eu 85.128.134.227
dlqabln.pl 85.128.134.230
dnamfno.eu 85.128.134.231
dvjvskl.pl 85.128.134.228
eblngqi.eu 85.128.134.230
eczaslp.eu 85.128.134.227
enwptda.pl 85.128.134.231
esbcmfj.pl 85.128.134.231
flmryie.pl 85.128.134.231
fnlkquj.pl 85.128.134.229
gahdrji.eu 85.128.134.227
gcuzuep.eu 85.128.134.228
gmszefn.eu 85.128.134.230
gvjnntu.pl 85.128.134.231
hnlmawq.eu 85.128.134.231
inssnks.pl 85.128.134.229
iynxtvd.pl 85.128.134.232
jcbenfu.eu 85.128.134.228
jhvqmym.eu 85.128.134.229
jqiijhq.eu 85.128.134.227
jqykbzm.eu 85.128.134.229
jvpgwrx.eu 85.128.134.228
jymupxa.pl 85.128.134.229
jzjjmwp.pl 85.128.134.232
kdemqnw.eu 85.128.134.227
kispqud.pl 85.128.134.228
kltxrls.eu 85.128.134.229
lcfzmfj.pl 85.128.134.229
lpfzznq.pl 85.128.134.231
mbkhctz.pl 85.128.134.231
mrygpta.pl ?
njisqmu.eu 85.128.134.227
oaghdgc.pl 85.128.134.231
oisdvpw.eu 85.128.134.231
pephxrg.pl 85.128.134.228
phifrti.pl 85.128.134.230
pphrdlb.pl 85.128.134.232
qyqlgnw.eu 85.128.134.232
qyxytqv.eu 85.128.134.229
rgpaumx.pl 85.128.134.229
tehtbvu.pl 85.128.134.230
tehvldq.pl 85.128.134.230
tiboqrc.pl 85.128.134.227
tjqgwao.pl 85.128.134.228
uugqsou.pl 85.128.134.230
vkkuhvf.pl 85.128.134.232
wwinqdk.eu 85.128.134.228
wyttemr.pl 85.128.134.230
xffmqrp.pl 85.128.134.228
xhijakl.pl 85.128.134.228
xuuxnyc.pl 85.128.134.227
xyubzkp.pl 85.128.134.230
yrycyok.eu 85.128.134.229
yzmytzx.eu 85.128.134.231
zquktog.pl 85.128.134.230
zrinqjt.pl ?
zrtohtu.pl 85.128.134.229
zshwjso.pl 85.128.134.232

Po znalezieniu 66 adresów trochę nam się znudziło – wzorzec jest prosty, możecie sami poszukać dalej. Wszystkie domeny zostały zarejestrowane i były hostowane w Nazwa.pl. Co ciekawe, spora ich część (chociaż nie wszystkie) zostały niedawno zablokowane. Te niezablokowane przekierowują dzisiaj np. na Onet. Najstarsze adresy, na jakie trafiliśmy, pochodziły z 23 listopada – co wskazuje, że ataki trwają od około trzech tygodni. To wskazuje na to, że jeszcze trochę potrwają… Ostrzeżcie mniej zorientowanych znajomych.

Dziękujemy Czytelnikom, którzy nadesłali nam informacje o ataku.

Powrót

Komentarze

  • 2017.12.13 06:21 nazwa

    Aż się zdziwiłem, że to na nazwa.pl :D:D:D:D:D:D:D

    Odpowiedz
    • 2017.12.13 08:21 Liq

      Chyba łatwiej dać całą domenę nazwa.pl i nie zainfekowane strony dodawać do białej listy po sprawdzeniu :-P niezła reklama dla tej firmy.

      Odpowiedz
      • 2017.12.13 15:40 Adam [ale nie autor Z3S]

        Wbrew pozorom nie ma trywialnego tricku dla prostego automatycznego blokowania (np. poprzez hosts) bez użycia specjalistycznych narzędzi i/lub kogoś ciągle nad tym czuwającego.

        Odpowiedz
  • 2017.12.13 08:08 Michał

    Jak siano się zgadza… To nazwa.pl nie będzie protestować :D

    Odpowiedz
  • 2017.12.13 08:58 Jonasz

    Ale tak na dobrą sprawę to co nazwa.pl ma do tego? W wolnym kraju takim jak (jeszcze) Polska każdy ma prawo do korzystania z tej czy innej usługi, w tym przypadku rejestracji domeny i nikt nie powinien robić z tym problemów. Dopiero po zgłoszeniu abuse powinni reagować. A wy ile razy zgłosiliście nadużycie domen do operatora? No właśnie… a najgłośniej krzyczycie ;)

    Odpowiedz
    • 2017.12.13 16:13 Antoni

      Było wieeele zgłoszeń, ale nazwa.pl utrzymuje, że tego się nie da ustalić bla bla bla itp.

      Odpowiedz
  • 2017.12.13 11:34 Konrad

    :/ czesc napisalem bo widze na tej stronce: http://105m.1ij.info/ Twoje zdjecia z profilu ktore zostaly przerobione chamsko warto to zglosic zeby ktos skasowal ;/

    ——-
    Oczywiście mam to nadal we wiadomościach i FB z tym niestety nic nie zrobił

    Odpowiedz
  • 2017.12.13 13:10 Onnd

    Wybrana została nazwa.pl, bo o ile dobrze pamiętam dają darmowe domeny pl :) Więc co jak co, ale im się hajs chyba zbyt szczególnie nie zgadza.

    Odpowiedz
    • 2017.12.13 16:44 anon123

      A moze to inny powod? Adam z z3s w tym roku mial fajny wyklad o niejakim Thomas. Tez korzystal/korzysta z nazwa.pl. Przykre ale czesto ta wlasnie firma jest podawana.

      Odpowiedz
  • 2017.12.15 09:41 Obserwator

    Ja jestem ciekaw, jakim kretynem trzeba być,żeby się logować do „FB” kiedy w pasku adresu jest jakaś lipna domena.

    Najwyraźniej nie ma dobrego mechanizmu do uruchomienia szarych komórek u użyszkodników FB.

    Pozdro

    Odpowiedz
  • 2017.12.22 21:22 użytkownik1

    Gdzie zgłaszać ewidentne strony phishingowe? Chodzi mi o jakieś strony z formularzem. Ostatnio zgłaszałem google i eset. I różnie z tym bywa czasem reagują w ciągu kilku godzin, a czasem nawet po 1 dniu strona dalej wisi jako „zdrowa”.

    Odpowiedz

Zostaw odpowiedź do Michał

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Użytkownicy Facebooka, uważajcie na wiadomości wyłudzające hasła

Komentarze