8:50
18/11/2013

Advertisement

Przed weekendem na Facebooku zaczęły się masowo pojawiać posty z opisem o treści “Okazja”, kierujące do serwisu “ogloszenla.pl” (pisanego przez “L” nie “I”), imitującego serwis ogłoszeniowy tablica.pl. Informacje o tym przekręcie otrzymaliśmy od kilkudziesięciu czytelników — sytuacja wygląda zatem na poważną. Poniżej opisujemy co groziło osobom, które kliknęły na tego posta.

Jak działa atak?

Atak co do zasady przypomina niedawno opisywany przez nas przekręt pt. “Tak się bawią 18 latni na domówkach”. Kliknięcie gdziekolwiek na docelowej stronie mogło “po chichu” sprawić, że polubiliśmy jakiegoś fanpage’a (czytelnicy donoszą, że jest nim m.in. Best Vines, Best Vines Poland). Z kolei samo przepisanie CAPTCHY na komunikacie z ciasteczkami, widocznym zaraz na wejściu sprawia, że sami rozsyłamy linka do tej strony dalej, bo dodaje się on do naszej facebookowej ściany.

Wszystko zaczyna się, kiedy widzimy taki wpis dotyczący naszego znajomego na swoim newsfeedzie

Wszystko zaczyna się, kiedy widzimy taki wpis dotyczący naszego znajomego na swoim newsfeedzie

Domena ogloszenla.pl wskazuje na adres 91.236.52.103.

Pod fałszywym linkiem czai się strona z komunikatem CAPTCHA pod którą kryje się stara wtyczka Facebooka umożliwiająca zostawianie komentarzy (zwróćcie uwagę na to jak zostało dobrane słowo do przepisania):

iPhone_5_komplet_sprzedam_pilnie

iPhone 5 komplet sprzedam pilnie – ale najpierw wpisz CAPTCHA ;)

Tak wygląda sama ramka, której fragment – pole tekstowe – pokazuje się na komunikacie CAPTCHA:

iPhone scam

iPhone scam na Facebooku – widok ramki ukrywającej się pod komunikatem CAPTCHA

Przepisanie słowa i naciśnięcie widocznego przycisku dodaje na nasz profil następującą wiadomość (z opisem “Okazja” lub innym jaki ustawiliśmy):

iPhone scam na Facebooku - widok naszego profilu po ataku, czyli przepisaniu CAPTCHA

iPhone scam na Facebooku – widok naszego profilu po ataku, czyli przepisaniu CAPTCHA

Następnie, w zależności od przeglądarki z jakiej korzystamy, strona przestanie działać (Chrome) lub zostaniemy przekierowani na stronę http://ogloszenla.pl/oferty/ip.php udającą serwis z ogłoszeniami, a tak naprawdę służącą do wyłudzania numerów telefonów:

iPhone_5_komplet_pilnie_sprzedam2

iPhone 5 komplet pilnie sprzedam, ale aby zobaczyć ogłoszenie trzeba podać numer telefonu

Po podaniu numeru, zostanie pod niego wysłany SMS z PIN-em. Przepisanie PIN-u do strony spowoduje zapisanie nas na otrzymywanie płatnych SMS-ów — kilka w tygodniu:

Wpisanie PIN-u z SMS-a zapisuje nas do usługi otrzymywania płatnych SMS-ów

Wpisanie PIN-u z SMS-a zapisuje nas do usługi otrzymywania płatnych SMS-ów

Podałem swój numer, co teraz zrobić?

Ewidentnie czytać otrzymywane SMS-y — po podaniu numer ofiara dostaje wiadomość z sieci zawierającą PIN, ale także informację, że służy on do aktywacji płatnych usług. Aby wypisać się z tej subskrybcji należy wysłać SMS o treści BD pod numer 60235

Dodatkowo, warto przejrzeć swoje “Lajki” — bo zapewne nieświadomie dodaliście jakieś spamerskie strony.

Tego typu sytuacje, to zawsze dobry pretekst do zajrzenia także w zakładkę “Aplikacje” i usunięcie wszystkich, których nie rozpoznajecie, albo z których przestaliście korzystać, bo inaczej możecie sobie o nich boleśnie przypomnieć pewnego dnia ;)

Przeczytaj także:

41 komentarzy

Dodaj komentarz
  1. No cóż, niedoświadczeni userzy dalej się będą łapać na tego typu rzeczy, a Ci bardziej ogarnięci co najwyżej się szeroko uśmiechną ;>

    • Ci bardziej ogarnięci omijają facebooka szerokim łukiem.

  2. A blokowanie 3rd party cookies? :)

  3. W sumie można się śmiać że tylko debile takie rzeczy instalują, nie patrzą co robią itd. ale, ALE nie wiem czy widzieliście ostatnie darmowe aktualizacje pakietu comodo (antywirus + firewall) które instaluje jakieś privdogi :) problemem jest to że pod spodem mamy opcję anuluj albo dalej co wygląda po prostu jakbyśmy anulowali aktualizację comodo a nie instalację tych dodatków (oczywiście akutalizacja w tle się zainstaluje, no może nie do końca w tle bo restart potrzebny no ale…)
    Także trzeba bardzo patrzeć żeby dzisiaj nie poinstalować toolbarów itp. nawet będąc zaawansowanym użytkownikiem systemu.

    • Polecam zainstalować Linuksa.

      sudo apt-get install nazwaprogramu
      lub
      yum install nazwaprogramu

      Bez toolbarów i innych śmieci.
      Ewentualnie adwcleaner co jakiś czas.

  4. Ile można o tym samym..

  5. Tak się składa, że ten chłopaczek ma 17-18 lat i pochodzi z Rybnika, ktoś powinien tego gnojka zgłosić szczególnie, że wyłudza SMSy PREMIUM ukrywając w iframe informacje o kosztach.

  6. @Szymon
    Ile można? Do skutku. Póki cała masa nieświadomych niczego ludzi przestanie klikać we wszystko co zobaczy w internecie ;)

  7. Żeby nie było – takie coś to nie tylko na FB, ja konta tam nie mam, ale ma mój kolega i wygląda na to, że FB przechowuje hasła do poczty jeśli się wyszukiwało znajomych po mailach, bo przyszło mi dokładnie to samo od tego właśnie kolegi.
    Niech żyje prywatność!

    • Żeby przechowywał to najpierw trzeba je podać. Więc głupota jest nagradzana ;)

    • A to swoją drogą :P
      Nigdy tego nie rozumiałem…

  8. Podstawa to zablokowane usługi premum i większośc takich problemów jest z głowy :) gdyby jeszcze operatorzy udostępnili możliwość blokowanie SMS z podanych numerów…

    • Owszem, można zablokować przychodzące z takich numerów, ale co z kodami tymczasowymi z banku? One też wtedy nie dojdą. Wiem, bo już to przerabiałem.

    • Niektóre banki oferują tokeny na smartphone.

  9. Nie mieć fejsbuka = być zwycięzcą!

  10. Ci, którzy krążą na trasie Poznań-Warszawa korzystając z autostrady mają możliwość zakupienia całkiem nowiuśkiego Iphone’a 4S za nawet 150 plnów :) Na MOPsach mili panowie z Rumunii oferują takowe urządzenia. Wygląda identycznie… Jest ino “trochę” lżejszy :)

  11. http://allegro.pl/skrypt-ogloszen-ogloszenia-drobne-od-firmy-23-i3698948914.html
    Na samej stronie widać:
    To jest wersja demonstracyjna produktu Avatec Ogłoszenia – Niektóre funkcje zostały zablokowane – KUP TEN PRODUKT NA ALLEGRO

  12. http://papuziblog.blogspot.com/2011/04/przekret-nigeryjski.html Niby podobne do siebie, ale zupełnie inne założenia i wykonanie.

  13. Gdzieś wyczytałem, że wystarczy pójść do operatora i zablokować smsy premium i można się uśmiechać do wszystkich.

  14. Panowie – ssh ostatnio mala fajna dziurke mialo – nic strasznego ale ciekawe dosc – podeslalem Wam info ale nikt tego nie opisal… Wiem ze macie duzo maili ale postarajcie sie to ogarnac.

    Pozdrawiam.

    Andrzej

    • Nie “ssh”, tylko OpenSSH (są różne implementacje). Nie “fajną dziurkę”, tylko CVE-2013-4548. Błąd nie jest też bardzo poważny – i tak musisz się zalogować (luka jest w post-auth), co najwyżej możesz ForceCommand i temu podobne limity obejść.

      A z drugiej strony – nie ma gcm, nie ma problemu:

      # nmap -p 22 –script ssh2-enum-algos localhost|grep gcm

  15. FAIL na screenie, nie ocenzurowales nazwy profilu na karcie (chyba ze to specjalnie:D)

    • good catch ;)

    • Nasze fejkowe konto czuje się samotne, chcielismy, żeby ktoś dodał je do znajomych ;)

  16. Wysadzono bankomat w Kielcach. Wiem ,że nie na temat.

    • Bankomat metoda na Polaka zawsze jest dobry ;D.

      Pozdrawiam.

      Andrzej

  17. Duzo jeszcze bedzie takich newsow odnosnie FB? Chocby bylo ich milion one i tak nie trafia do osob ktore sie na to nabieraja, bo takie osoby nie odwiedzaja niebiezpiecznika. Poki fb nie byl tak popularny nie pisaliscie co tydzien w kolko tego samego, bo te oszustwa roznia sie co najwyzej trescia. Zrobie sobie osobny dzial fb. Na tej stronie jest mnostwo cennych informacji ale newsy takie jak ten nic nowego nie wnosza. Serio

    • No dobrze, ale jednak nikt nie karze Ci tego czytać…
      Widzisz ze FB to omijasz.
      BTW. jakoś mało artów ostatnio..

  18. A ja wysłałem emailem ciekawe oszustwo na Allegro. Zero odpowiedzi, nikt nic nie odpisał, a mój kolega prawie stał się ofiarą tego samego oszustwa… przecież wiadomo że takie iPhony to czyste oszustwo z podaniem numeru. Co innego “gościu z Londynu” i genialnie podrobione emaile typu “wpłata zostanie wysłana dopiero po wysłaniu paczki” idealnie wprowadzają w błąd. Ale nie! Przecież 1400zł chodzi sobie ulicą i można je spokojnie złapać.

    • A czy widzisz jakieś symptomy wykorzystywania luk w systemach Alledrogo, poza głupotą i naiwnością (l)userów ciągle nabierających się na tzw. “przekręty nigeryjskie” na tejże platformie?;>

    • ty chyba nie widziałeś tego:
      http://mistrzowie.org/156959/
      kilka lat temu było podobne ale lepiej wykonane :)

  19. http://www.yougetsignal.com/tools/web-sites-on-web-server/

    Wklepcie: wladomoscl.pl i twojemiastofb.pl oraz ogloszenla.pl

  20. Zapomniałem dodać że większość domen nie śledzi tylko te z twojemiastofb.pl więc przykrywki takie oto robią sobie.

  21. Nawet nie zrobili strony w tekście, tylko jako grafika: http://ogloszenla.pl/oferty/tlo.png

  22. Ech pewnie już mówiłem ale ta polityka cookies to chyba największy strzał w stopę ostatniego 10- lecia . Miało zabezpieczyć użytkowników, a spowodowało tylko super fajną “dziurę” dzięki której uzytkownicy klikają wszystko co twórca strony zapragnie, co anulowało praktycznie wszelkie zabezpieczenia systemowe

  23. Nie best Vines Poland tylko Best Vines Polska!!! poprawcie to proszę.. Tutaj link do tego fanpage https://www.facebook.com/PolskaVines?fref=ts

  24. Pojawiła się nowa wersja – tym razem mamy możliwość wynajęcia pokoju za 550 zł w centrum :)

    • dawaj pokaż! hahaha dobry gość jest! :) dawaj posmiejemy

  25. […] Okazja! iPhone 5 komplet sprzedam pilnie za 750 PLN […]

  26. nono ciekawe ktos wybral sobie firme ze szczecina

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: