11:31
30/4/2013

Od kilku dni na Facebooku panoszy się ciekawa aplikacja-robak. Zainfekowane nią osoby nieświadomie wrzucają na swoją profil (i tablice znajomych) linki do fałszywych “szokujących wiadomości”, które według naszych czytelników w niektórych przypadkach starają się nakłonić nieświadomych internautów do usług Premium SMS.

Wiadomości z kraju [+18] — złośliwa aplikacja

Treść postów żeruje na uczuciu współczucia i wygląda mniej więcej tak:

Poszukiwany kierowca samochodu, który widać na filmie – zabił on naszych przyjaciół i uciekł z miejsca wypadku. Wera i Maciek [*] Pozostaniecie na zawsze w naszych sercach… [złośliwy link do fałszywego newsa]

Kiedy klikniemy na wskazany przez zainfekowanego znajomego link, przenoszeni jesteśmy do strony łudząco przypominającej portal z wiadomościami — niestety ten kluczowy materiał, do którego odsyłał znajomy to wideo, a player prosi o zalogowanie się do Facebooka celem zobaczenia materiału (wariant znanego od dawna ataku “zainstaluj brakujący w systemie kodek video”, kiedy to oczywiście zamiast kodeka instalowało się złośliwe oprogramowanie).

Bądź na bieżąco. Najświeższe wiadomości z kraju na Wiadomości-Polska.pl

W tytule stoi ‘Wiadomości-Polska.pl’ ale domena już inna, czyli kolejna iteracja ataku.

Obecnie znamy 2 złośliwe domeny:

hxxp://www.wiadomosci-polska.pl/aktualnosci/tragiczny-wypadek-dwie-osoby-nie-zyja.php (podesłał _aDi_)
hxxp://www.wiadomosci-miejskie.pl/aktualnosci/tragiczny-wypadek-dwie-osoby-nie-zyja (podesłał mzah)

Obie wskazują na ten sam adres IP: 188.165.194.226 (serwer dedykowany w OVH), na którym udało się nam namierzyć jeszcze kilkanaście innych podejrzanych domen, które na różne sposoby przekonują do: instalacji złośliwych aplikacji, przeprowadzają ataki clickjacking (a dokładnie “likejacking” — czyli przekierowywania kliknięcia w przycisk “Lubię to!”) lub wyciągają dane użytkowników w inny sposób:

Ale jaja! SZOK -- strona przeprowadzająca ataki clickjackingowe (likejacking) i namawiająca do podania danych

Ale jaja! SZOK — strona przeprowadzająca ataki clickjackingowe (likejacking) i namawiająca do podania danych

Lista wszystkich domen osadzonych na tym samym serwerze:
wiadomosci-polska.pl
wiadomosci-miejskie.pl
hardkory.com
dezeer.pl
no-co-ty.pl
videomotion.pl
he-he.pl
goodlime.pl
fb-tube.pl
fbvideo.pl
filmynafejsie.pl
filmy-facebook.com
fejsol.pl
seezer.pl
096.waw.pl
092.waw.pl
090.waw.pl

Administratorom sieci sugerujemy wyciąć dostęp do tych domen na swoich urządzeniach.

Kto może być właścicielem serwera?

DNS-y domen wskazują na adres goodlike.pl — mało tego, ta domena również jest osadzona na serwerze 188.165.194.226. Firma ta, w tytule swojej strony posiada opis “Goodlike.pl – Marketing w Mediach Społecznościowych“, a jak można wyczytać w KRS, wiceprezes jej zarządu urodził się w 1992 roku. Niestety podany przez firmę telefon kontaktowy milczy…

O ile WHOIS dla domen .pl został zamaskowany, to nie zrobiono już tego dla domen .com osadzonych na serwerze 188.165.194.226, dzięki czemu z jedne z nich nich wyczytać następującą informację:

whois filmy-facebook.com

whois filmy-facebook.com

Telefon jest poprawny, dane są poprawne, ale Pan Damian twierdzi że nie wie o co chodzi, nie rejestrował tej domeny, ale zauważył że od jakiegoś czasu przychodzą mu maile z OVH na niniejszy adres e-mail

Z kolei na stronie no-co-ty.pl wyświetla się następujący komunikat:

no-co-ty.pl

no-co-ty.pl

A w internecie można znaleźć informacje, jakoby domena doub.pl powiązana była z oszustwem.

Uwaga oszustwo_ doub.pl

Uwaga oszustwo_ doub.pl

…a jedna z jej subdomen nakłania do instalacji aplikacji “podgladaczfb”, która rzekomo ma umożliwić sprawdzanie kto ogląda nasz profil na Facebooku:

Facebook

PodgladaczFB na doub.pl

…i tak koło się zamyka. Znów wracamy do Facebooka :-) Niewątpliwie popularność i znaczenie tego serwisu społecznościowego w internecie jeszcze nie raz będzie prowokowało niektórych do obrania ścieżki “na skróty” w celu skompletowania rzeszy “lubisiów”, szkoda, że takich, którzy będą zupełnie nieświadomi tego, że są fanami jakiejś marki…

Przeczytaj także:

62 komentarzy

Dodaj komentarz
  1. Głupi głupimi pozostaną, nawet gdy dadzą się nabrać. Częściowo głupi oprzytomnieją, a mądrzy nie dadzą się nabrać. Przecież te strony z kilometra śmierdzą. Takie czasy, gdzie ludziom komputer potrzebny jest tylko do fejsbuka, a jak braknie internetu to żałoba narodowa..

  2. Nie wiem co jest nie tak z tym nowym mlodym pokoleniem nie dosc ze oszukuja to jeszcze robia to ze swoich prawdziwych danych , glupota czy bezczelnosc??

    • Po prostu nie pamiętają jak były zakładane firmy w latach 90 i nie znają tego sposobu ;)

  3. Hmmm

    Ciekawi mnie jak wydobyliście “listę wszystkich domen osadzonych na serwerze”
    Wskazówki ?

    Co do aplikacji to stara, dobra zasada… – nie klikać głupot.
    Najlepiej wyłączyć Platformę Aplikacji.

  4. Nie mam fejsa – powinienem sie bac ?

  5. Moment…. To ten robak instaluje się dopiero po pobraniu tego czegoś czy po wejściu na daną stronę??

    PS: Już widzę na FB paru znajomych się nacieło :P

  6. A widzę jeszcze taką domenę

    twojemiastofb.pl też podejrzane więc dodajcie do spisu :)

    • Potwierdzam, krąży to właśnie głównie wśród moich znajomych.

  7. kuleje świadomość społeczeństwa. Tak samo jak przestrzegają nas przed parabankami, starsze osoby przed wyłudzeniami “na wnuczka”, tak min. niebezpiecznik przed ww atakami. I co z tego, będzie tylko gorzej. Stajemy się co raz większymi konsumentami rzeczy i informacji – co raz głupszym społeczeństwem, którym łatwiej sterować. Nowożytny okres ciemnoty społecznej (patrz: średniowiecze i rola kościoła).

    • To musze przyznac, ze rola kosciola byla bardzo pozytywna, poniewaz sredniowiecze pod wzgledem rozkwitu kultury i nauki jest calkiem niezlym okresem.

      Ech, niektorzy to maja analogie i wiedze historyczna mocno z …y.

  8. Aż serwerek nie wyrabia ;-) aż tyle info poszło ;-),
    A to nie robak tylko skrypt który pobiera nazwę miasta z twojego profilu i udostępnia dalej wiadomość a gdzie niegdzie nawet prośba o wysłanie sms-a się pojawia

  9. Od jakiegoś roku na FB widać wysyp takich spamowych witryn, które lajkują za nas.
    Czasem jest to tak irytujące, że 30-40% wszystkich informacji to spam od osób, kompletnie nieświadomych tego, że na swoim koncie mają syf.

    Jedyna opcja to zgłaszać do FB i pouczać takie osoby, żeby nie klikały w takie linki.

  10. Używacie jakiegoś skanera antywirusowego na FB? Co polecacie (oczywiście oprócz zdrowego rozsądku) do ochrony przed takimi szkodnikami?

    • tu Ci żaden anty nie pomoże, po prostu nie zareaguje na tego typu zagrożenie gdyż skrypt nie ingeruje w Twój system a jedynie, przeprowadza akcje w uruchomionej przez Ciebie aplikacji (przeglądarce). Ratunkiem jest tylko mózg, albo głupi fart typu awaria neta jak już chcesz kliknąć xD

    • wlasny mozg

    • Poprostu posiadać zdrowy rozsądek w postaci olewania takich linków i w miarę dobrego antywirusa na wszelki wypadek. Ja używam ESET Smart Security 6 – bardzo dobry antywirus ;)

    • Firefoxowy NoScript wykrywa click-jacking jeśli jest like ukryte pod czymś co udaje np. player video, ale przed głupotą typu “zainstaluj aplikację to zobaczysz” to tylko zdrowy rozsądek może uchronić.

    • Wyłączyć third-party cookies, nie bedziesz zalogowany na fejsa poza fejsem i nikt ci lajka nie ukradnie.

  11. Jak to jest uwarunkowanie prawnie? Osoby tworzące tego typu skrypty mają w dupie prawo? Nie boją się, że o 6 rano zapukają do drzwi smutni panowie albo ktoś się wkurwi i dobierze im się do tyłka? Co chwilę czytam o tego typu akcjach, nikt tego nie ściga?

    • temat rak …. można zaleczyć nie wyleczyć

    • ale za co mają się dobrać?

  12. Żadna nowość. Ja już od roku widzę jak takie “szokujące wiadomości” są publikowane przez moich znajomych. Domeny też dziwne. Próbowałem pisać żeby coś z tym zrobili ale “ok”, “dobra, sprawdzę” i na tym się kończy, będą to publikować dopóki wszystkie domeny i hosty tych robali nie będą zbanowane. Smutne ale prawdziwe. Spam mam ciągle ale debila nie nawrócisz. Musi sam to zrobić.

  13. Już poprawił ktoś whois filmy-facebook.com

  14. Generalnie, to dość dużo już jest stronek, na których po zalogowaniu się przez fejsa, na naszą tablicę wrzucane są posty.

  15. Od kiedy Youtube ma przeciążone serwery i prosi o podanie numeru kom ? tylko naiwniak wpisze swój numer ja z miejsca dodałem do Black Listy bo dostałem to ścierwo


    • 2)Od kiedy na YouTube można się logować za pomocą konta Facebook? (Na stronie logowania YT nic o FB nie zauważyłem i nie mam konta ani na YT, ani na FB, więc nie jestem na bieżąco i tak z nudów pytam.)
      3)Od kiedy tło filmu w odtwarzaczu YouTube włazi na suwak przewijania filmu?

      Reklama “Beata zrzuciła 14 kg z brzucha, ud i TWARZY(…)” zadziałała na mnie rozweselająco.:)

  16. Nikt nie może wytoczyć temu kolesiowi pozwu? Na policję?
    Jeśli nie, to może zrugać jego firmie opinię na wszystkich portalach społecznościowych / biznesowych?

    Trzeba się bronić panowie. Jak gość był na tyle głupi, żeby wystawić swoje dane na widok publiki to już powinien siedzieć w worze i sypać głowę popiołem.

  17. Rozumiem starsze osoby ale żeby młodzi się na to nabierali? Idioci.

  18. A ja nie rozumiem jak można klikać “zaloguj się przez FB”. Trzeba klikać obok “zgłoś jako spam”, chociaż nie wiem, czy coś to daje…

  19. $ nc 188.165.194.226 80
    (UNKNOWN) [188.165.194.226] 80 (www) : Connection refused

    :-(

  20. W drugim zdaniu zamiast “Zainfekowane nią osoby nieświadomie wrzucają na SWOJĄ PROFIL(…)” powinno być “Zainfekowane nią osoby nieświadomie wrzucają na SWÓJ PROFIL”. A tak po za tym kolejny dobry artykuł.

  21. Ja jak widze po kliknieciu na np filmik jaki ktos zamiescil na fb lub fajny news czy cos i pokazuje sie zeby zobaczyc to musze liknac czy cokolwiek to od razu blokuje te wszystkie gowna

  22. asdasdaasd – remove me

    • testujesz czas reakcji moderatorow przed majowka ;) ?

  23. Wychodze z zalozenia, ze KAZDY, ale to KAZDY bez wyjatku uzytkownik FB jest osoba eee… okreslmy to eufemistycznie “przecietna intelektualnie”. Podawanie wlasnych danych, autentycznych danych w sieci, na jakims vortalu spolecznosicowym, od razu szereguje takie osoby pod wzgledem intelektualnym. I to jest MOJA opinia, z ktora nikt inny nie musi sie zgadzac (ja przezyje), jednak jest to opinia oparta na obserwacjach, a nie z sufitu.

    • A Ty, jak rozumiem, jesteś ponadprzeciętny ?

    • Nie, jestem po prostu normalny – zadna rewelacja. Uzytkownicy FB sa natomiast daleko ponizej sredniej IQ. Jezeli sadzisz, ze facebookowcy sa “przecietna statystyczna” to sie bardzo mylisz, daleko im do przecietnej i to bardzo. To tumany.

    • Trash, swoja wypowiedzia i generalizowaniem predzej bym uznal Ciebie za tego z ponizej przecietnym iq. Coz, trzeba sie jakos dowartosciowac, co?

  24. U mnie w operze najlepsze zabezpiecznie mam przed tego typu atakami. Jak prubuje wejść na twarzoksiążkę to mam taki komunikat. XD
    Bezpieczne połączenie: błąd krytyczny (49)
    https://facebook.com/
    Certyfikat jest prawidłowy, jednak nie ma do niego dostępu.

  25. miazga ….

  26. Usunęliście rekordy AAAA dla niebezpiecznik.pl?

  27. Mam prośbę: nie jedźcie od razu po osobach, których dane udało się znaleźć w WhoIs.
    Wygląda na to, że hosting OVH doświadczył “incydentu bezpieczeństwa”:
    [forum.ovh.com/showthread.php?t=88277]
    [translate.google.com/translate?sl=fr&tl=pl&u=forum.ovh.com/showthread.php?t=88277]

  28. Fajne śledztwo :) CSI normalnie :P

  29. Najbardziej szokujaca wiadomoscia jest ludzka naiwnosc.

  30. Jeszcze jest hityfejsbuka.pl, znajomy wpadł :/

  31. Moim zdaniem najważniejsza jest świadomość i uświadamianie osób o tym, żeby nie klikali w linki.

  32. Witam co do Aplikacji na facebooku z filmami są one z kanału Ryjemy PL sprawdziłem to aplikacje pojawiające się z filmami z wypadków własciwie to są zdjęcia jpg proszą o podanie numeru telefonu następnie przychodzi sms aby wpisać kod a w sms jest napisane aby obejrzeć film wyśłij sms pod nr 75100 i na tym zakończyłem nie wiem co by się stało gdybym wysłał sms pod ten numer ale tu chodzi o udział niby w jakiejś fortunie , kontaktowałem się już z grupą hakerów z USA którzy atakują tych hakerów co robią przestępstwa i gaszą ich serwery nie wiem jakie dane mam im podać aby sprawdzili kto za tym stoi czy ktoś mi pomoże ?

  33. Nowa domena z “szokującymi wiadomościami”.
    Naprawde śmierdzi na kilometr – przecież żaden link na stronie nie jest aktywny poza tym niby filmikiem – wygląda jakby wrzucili zrzut ekranu jako tło a na to dali filmik.
    h.t.t.p://info-wiadomosci.pl/

  34. [...] Was o kilkunastu domenach należących do jednej i tej samej firmy i wykorzystywanych do m.in. wyłudzania danych osobowych na Facebooku poprzez publikowanie wiadomości z chwytliwymi, szokującymi tytułami. W trakcie majówki [...]

  35. Kanal Ryjemy PL na youtube nie ma akurat nic wspólnego z tymi atakami bo te filmy są na youtube a strony takie jak właśnie twojemiastfb.pl itd użyły tych filmików i kanału jako przynęte. Równie dobrze mogli wziąć filmy z 10 innych kanałów na youtube i zrobili by to samo. Także czytać ludzie a nie głupoty wypisujecie.

  36. Od czasu rozprzestrzeniania się aplikacji na facebook’u, ten portal społecznościowy zamienił się w śmietnik, nad którym chyba nikt nie jest w stanie zapanować :/

  37. a co powiecie na to: http://polska-wiadomosci.pl/
    brzmi podobnie??;)

  38. […] Ciekawe czy za atakami stoi ta sama grupa, której spamerskie domeny namierzyliśmy najpierw w kwietniu, a potem w maju tego […]

  39. […] rodzimym scamerom, których działania opisywaliśmy pod koniec kwietnia, chyba skończyła się kasa z subskrybcji SMS-owej, bo od 2 dni przez polskiego Facebooka […]

  40. ja dałem się złapać na wiadomosci.pl , teraz niewiem jak to
    gówno usunąć…

  41. Pan Rutz Damian -_-

  42. Dzisiaj kumpela mi przyniosła lapka z podobnymi objawami. Zaisntalowana była aplikacja Facebook: wiadomości-info albo info-wiadomości. Wyłączyłem aplikacje w ogóle. Powinien być spokój.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: