30/4/2013
Od kilku dni na Facebooku panoszy się ciekawa aplikacja-robak. Zainfekowane nią osoby nieświadomie wrzucają na swoją profil (i tablice znajomych) linki do fałszywych “szokujących wiadomości”, które według naszych czytelników w niektórych przypadkach starają się nakłonić nieświadomych internautów do usług Premium SMS.
Wiadomości z kraju [+18] — złośliwa aplikacja
Treść postów żeruje na uczuciu współczucia i wygląda mniej więcej tak:
Poszukiwany kierowca samochodu, który widać na filmie – zabił on naszych przyjaciół i uciekł z miejsca wypadku. Wera i Maciek [*] Pozostaniecie na zawsze w naszych sercach… [złośliwy link do fałszywego newsa]
Kiedy klikniemy na wskazany przez zainfekowanego znajomego link, przenoszeni jesteśmy do strony łudząco przypominającej portal z wiadomościami — niestety ten kluczowy materiał, do którego odsyłał znajomy to wideo, a player prosi o zalogowanie się do Facebooka celem zobaczenia materiału (wariant znanego od dawna ataku “zainstaluj brakujący w systemie kodek video”, kiedy to oczywiście zamiast kodeka instalowało się złośliwe oprogramowanie).
W tytule stoi ‘Wiadomości-Polska.pl’ ale domena już inna, czyli kolejna iteracja ataku.
Obecnie znamy 2 złośliwe domeny:
hxxp://www.wiadomosci-polska.pl/aktualnosci/tragiczny-wypadek-dwie-osoby-nie-zyja.php (podesłał _aDi_)
hxxp://www.wiadomosci-miejskie.pl/aktualnosci/tragiczny-wypadek-dwie-osoby-nie-zyja (podesłał mzah)
Obie wskazują na ten sam adres IP: 188.165.194.226 (serwer dedykowany w OVH), na którym udało się nam namierzyć jeszcze kilkanaście innych podejrzanych domen, które na różne sposoby przekonują do: instalacji złośliwych aplikacji, przeprowadzają ataki clickjacking (a dokładnie “likejacking” — czyli przekierowywania kliknięcia w przycisk “Lubię to!”) lub wyciągają dane użytkowników w inny sposób:
Ale jaja! SZOK — strona przeprowadzająca ataki clickjackingowe (likejacking) i namawiająca do podania danych
Lista wszystkich domen osadzonych na tym samym serwerze:
wiadomosci-polska.pl
wiadomosci-miejskie.pl
hardkory.com
dezeer.pl
no-co-ty.pl
videomotion.pl
he-he.pl
goodlime.pl
fb-tube.pl
fbvideo.pl
filmynafejsie.pl
filmy-facebook.com
fejsol.pl
seezer.pl
096.waw.pl
092.waw.pl
090.waw.pl
Administratorom sieci sugerujemy wyciąć dostęp do tych domen na swoich urządzeniach.
Kto może być właścicielem serwera?
DNS-y domen wskazują na adres goodlike.pl — mało tego, ta domena również jest osadzona na serwerze 188.165.194.226. Firma ta, w tytule swojej strony posiada opis “Goodlike.pl – Marketing w Mediach Społecznościowych“, a jak można wyczytać w KRS, wiceprezes jej zarządu urodził się w 1992 roku. Niestety podany przez firmę telefon kontaktowy milczy…
O ile WHOIS dla domen .pl został zamaskowany, to nie zrobiono już tego dla domen .com osadzonych na serwerze 188.165.194.226, dzięki czemu z jedne z nich nich wyczytać następującą informację:
whois filmy-facebook.com
Telefon jest poprawny, dane są poprawne, ale Pan Damian twierdzi że nie wie o co chodzi, nie rejestrował tej domeny, ale zauważył że od jakiegoś czasu przychodzą mu maile z OVH na niniejszy adres e-mail…
Z kolei na stronie no-co-ty.pl wyświetla się następujący komunikat:
no-co-ty.pl
A w internecie można znaleźć informacje, jakoby domena doub.pl powiązana była z oszustwem.
Uwaga oszustwo_ doub.pl
…a jedna z jej subdomen nakłania do instalacji aplikacji “podgladaczfb”, która rzekomo ma umożliwić sprawdzanie kto ogląda nasz profil na Facebooku:
PodgladaczFB na doub.pl
…i tak koło się zamyka. Znów wracamy do Facebooka :-) Niewątpliwie popularność i znaczenie tego serwisu społecznościowego w internecie jeszcze nie raz będzie prowokowało niektórych do obrania ścieżki “na skróty” w celu skompletowania rzeszy “lubisiów”, szkoda, że takich, którzy będą zupełnie nieświadomi tego, że są fanami jakiejś marki…
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Głupi głupimi pozostaną, nawet gdy dadzą się nabrać. Częściowo głupi oprzytomnieją, a mądrzy nie dadzą się nabrać. Przecież te strony z kilometra śmierdzą. Takie czasy, gdzie ludziom komputer potrzebny jest tylko do fejsbuka, a jak braknie internetu to żałoba narodowa..
Nie wiem co jest nie tak z tym nowym mlodym pokoleniem nie dosc ze oszukuja to jeszcze robia to ze swoich prawdziwych danych , glupota czy bezczelnosc??
Po prostu nie pamiętają jak były zakładane firmy w latach 90 i nie znają tego sposobu ;)
Hmmm
Ciekawi mnie jak wydobyliście “listę wszystkich domen osadzonych na serwerze”
Wskazówki ?
Co do aplikacji to stara, dobra zasada… – nie klikać głupot.
Najlepiej wyłączyć Platformę Aplikacji.
Hej,
Mozesz sprawdzic sobie domeny podpiete pod dany IP np za pomoca:
http://www.yougetsignal.com/tools/web-sites-on-web-server/
Wpiszcie imdb.com ;o
Dzięki Panowie!
http://ip.robtex.com/
Ciekawostka: zobaczcie sobie na http://www.yougetsignal.com/tools/web-sites-on-web-server/ jakie domeny są podpięte pod onet.
http://www.grainger.com/
http://www.sustainablesupply.com/
:]
Nie mam fejsa – powinienem sie bac ?
Moment…. To ten robak instaluje się dopiero po pobraniu tego czegoś czy po wejściu na daną stronę??
PS: Już widzę na FB paru znajomych się nacieło :P
A widzę jeszcze taką domenę
twojemiastofb.pl też podejrzane więc dodajcie do spisu :)
Potwierdzam, krąży to właśnie głównie wśród moich znajomych.
kuleje świadomość społeczeństwa. Tak samo jak przestrzegają nas przed parabankami, starsze osoby przed wyłudzeniami “na wnuczka”, tak min. niebezpiecznik przed ww atakami. I co z tego, będzie tylko gorzej. Stajemy się co raz większymi konsumentami rzeczy i informacji – co raz głupszym społeczeństwem, którym łatwiej sterować. Nowożytny okres ciemnoty społecznej (patrz: średniowiecze i rola kościoła).
To musze przyznac, ze rola kosciola byla bardzo pozytywna, poniewaz sredniowiecze pod wzgledem rozkwitu kultury i nauki jest calkiem niezlym okresem.
Ech, niektorzy to maja analogie i wiedze historyczna mocno z …y.
Aż serwerek nie wyrabia ;-) aż tyle info poszło ;-),
A to nie robak tylko skrypt który pobiera nazwę miasta z twojego profilu i udostępnia dalej wiadomość a gdzie niegdzie nawet prośba o wysłanie sms-a się pojawia
Od jakiegoś roku na FB widać wysyp takich spamowych witryn, które lajkują za nas.
Czasem jest to tak irytujące, że 30-40% wszystkich informacji to spam od osób, kompletnie nieświadomych tego, że na swoim koncie mają syf.
Jedyna opcja to zgłaszać do FB i pouczać takie osoby, żeby nie klikały w takie linki.
Używacie jakiegoś skanera antywirusowego na FB? Co polecacie (oczywiście oprócz zdrowego rozsądku) do ochrony przed takimi szkodnikami?
tu Ci żaden anty nie pomoże, po prostu nie zareaguje na tego typu zagrożenie gdyż skrypt nie ingeruje w Twój system a jedynie, przeprowadza akcje w uruchomionej przez Ciebie aplikacji (przeglądarce). Ratunkiem jest tylko mózg, albo głupi fart typu awaria neta jak już chcesz kliknąć xD
wlasny mozg
Poprostu posiadać zdrowy rozsądek w postaci olewania takich linków i w miarę dobrego antywirusa na wszelki wypadek. Ja używam ESET Smart Security 6 – bardzo dobry antywirus ;)
Firefoxowy NoScript wykrywa click-jacking jeśli jest like ukryte pod czymś co udaje np. player video, ale przed głupotą typu “zainstaluj aplikację to zobaczysz” to tylko zdrowy rozsądek może uchronić.
Wyłączyć third-party cookies, nie bedziesz zalogowany na fejsa poza fejsem i nikt ci lajka nie ukradnie.
Jak to jest uwarunkowanie prawnie? Osoby tworzące tego typu skrypty mają w dupie prawo? Nie boją się, że o 6 rano zapukają do drzwi smutni panowie albo ktoś się wkurwi i dobierze im się do tyłka? Co chwilę czytam o tego typu akcjach, nikt tego nie ściga?
temat rak …. można zaleczyć nie wyleczyć
ale za co mają się dobrać?
Żadna nowość. Ja już od roku widzę jak takie “szokujące wiadomości” są publikowane przez moich znajomych. Domeny też dziwne. Próbowałem pisać żeby coś z tym zrobili ale “ok”, “dobra, sprawdzę” i na tym się kończy, będą to publikować dopóki wszystkie domeny i hosty tych robali nie będą zbanowane. Smutne ale prawdziwe. Spam mam ciągle ale debila nie nawrócisz. Musi sam to zrobić.
Już poprawił ktoś whois filmy-facebook.com
Generalnie, to dość dużo już jest stronek, na których po zalogowaniu się przez fejsa, na naszą tablicę wrzucane są posty.
Od kiedy Youtube ma przeciążone serwery i prosi o podanie numeru kom ? tylko naiwniak wpisze swój numer ja z miejsca dodałem do Black Listy bo dostałem to ścierwo
…
2)Od kiedy na YouTube można się logować za pomocą konta Facebook? (Na stronie logowania YT nic o FB nie zauważyłem i nie mam konta ani na YT, ani na FB, więc nie jestem na bieżąco i tak z nudów pytam.)
3)Od kiedy tło filmu w odtwarzaczu YouTube włazi na suwak przewijania filmu?
Reklama “Beata zrzuciła 14 kg z brzucha, ud i TWARZY(…)” zadziałała na mnie rozweselająco.:)
Nikt nie może wytoczyć temu kolesiowi pozwu? Na policję?
Jeśli nie, to może zrugać jego firmie opinię na wszystkich portalach społecznościowych / biznesowych?
Trzeba się bronić panowie. Jak gość był na tyle głupi, żeby wystawić swoje dane na widok publiki to już powinien siedzieć w worze i sypać głowę popiołem.
Rozumiem starsze osoby ale żeby młodzi się na to nabierali? Idioci.
A ja nie rozumiem jak można klikać “zaloguj się przez FB”. Trzeba klikać obok “zgłoś jako spam”, chociaż nie wiem, czy coś to daje…
$ nc 188.165.194.226 80
(UNKNOWN) [188.165.194.226] 80 (www) : Connection refused
:-(
W drugim zdaniu zamiast “Zainfekowane nią osoby nieświadomie wrzucają na SWOJĄ PROFIL(…)” powinno być “Zainfekowane nią osoby nieświadomie wrzucają na SWÓJ PROFIL”. A tak po za tym kolejny dobry artykuł.
Ja jak widze po kliknieciu na np filmik jaki ktos zamiescil na fb lub fajny news czy cos i pokazuje sie zeby zobaczyc to musze liknac czy cokolwiek to od razu blokuje te wszystkie gowna
asdasdaasd – remove me
testujesz czas reakcji moderatorow przed majowka ;) ?
Wychodze z zalozenia, ze KAZDY, ale to KAZDY bez wyjatku uzytkownik FB jest osoba eee… okreslmy to eufemistycznie “przecietna intelektualnie”. Podawanie wlasnych danych, autentycznych danych w sieci, na jakims vortalu spolecznosicowym, od razu szereguje takie osoby pod wzgledem intelektualnym. I to jest MOJA opinia, z ktora nikt inny nie musi sie zgadzac (ja przezyje), jednak jest to opinia oparta na obserwacjach, a nie z sufitu.
A Ty, jak rozumiem, jesteś ponadprzeciętny ?
Nie, jestem po prostu normalny – zadna rewelacja. Uzytkownicy FB sa natomiast daleko ponizej sredniej IQ. Jezeli sadzisz, ze facebookowcy sa “przecietna statystyczna” to sie bardzo mylisz, daleko im do przecietnej i to bardzo. To tumany.
Trash, swoja wypowiedzia i generalizowaniem predzej bym uznal Ciebie za tego z ponizej przecietnym iq. Coz, trzeba sie jakos dowartosciowac, co?
U mnie w operze najlepsze zabezpiecznie mam przed tego typu atakami. Jak prubuje wejść na twarzoksiążkę to mam taki komunikat. XD
Bezpieczne połączenie: błąd krytyczny (49)
https://facebook.com/
Certyfikat jest prawidłowy, jednak nie ma do niego dostępu.
miazga ….
Usunęliście rekordy AAAA dla niebezpiecznik.pl?
Mam prośbę: nie jedźcie od razu po osobach, których dane udało się znaleźć w WhoIs.
Wygląda na to, że hosting OVH doświadczył “incydentu bezpieczeństwa”:
[forum.ovh.com/showthread.php?t=88277]
[translate.google.com/translate?sl=fr&tl=pl&u=forum.ovh.com/showthread.php?t=88277]
Fajne śledztwo :) CSI normalnie :P
Najbardziej szokujaca wiadomoscia jest ludzka naiwnosc.
Jeszcze jest hityfejsbuka.pl, znajomy wpadł :/
Moim zdaniem najważniejsza jest świadomość i uświadamianie osób o tym, żeby nie klikali w linki.
Witam co do Aplikacji na facebooku z filmami są one z kanału Ryjemy PL sprawdziłem to aplikacje pojawiające się z filmami z wypadków własciwie to są zdjęcia jpg proszą o podanie numeru telefonu następnie przychodzi sms aby wpisać kod a w sms jest napisane aby obejrzeć film wyśłij sms pod nr 75100 i na tym zakończyłem nie wiem co by się stało gdybym wysłał sms pod ten numer ale tu chodzi o udział niby w jakiejś fortunie , kontaktowałem się już z grupą hakerów z USA którzy atakują tych hakerów co robią przestępstwa i gaszą ich serwery nie wiem jakie dane mam im podać aby sprawdzili kto za tym stoi czy ktoś mi pomoże ?
Nowa domena z “szokującymi wiadomościami”.
Naprawde śmierdzi na kilometr – przecież żaden link na stronie nie jest aktywny poza tym niby filmikiem – wygląda jakby wrzucili zrzut ekranu jako tło a na to dali filmik.
h.t.t.p://info-wiadomosci.pl/
[…] Was o kilkunastu domenach należących do jednej i tej samej firmy i wykorzystywanych do m.in. wyłudzania danych osobowych na Facebooku poprzez publikowanie wiadomości z chwytliwymi, szokującymi tytułami. W trakcie majówki […]
Kanal Ryjemy PL na youtube nie ma akurat nic wspólnego z tymi atakami bo te filmy są na youtube a strony takie jak właśnie twojemiastfb.pl itd użyły tych filmików i kanału jako przynęte. Równie dobrze mogli wziąć filmy z 10 innych kanałów na youtube i zrobili by to samo. Także czytać ludzie a nie głupoty wypisujecie.
Od czasu rozprzestrzeniania się aplikacji na facebook’u, ten portal społecznościowy zamienił się w śmietnik, nad którym chyba nikt nie jest w stanie zapanować :/
a co powiecie na to: http://polska-wiadomosci.pl/
brzmi podobnie??;)
[…] Ciekawe czy za atakami stoi ta sama grupa, której spamerskie domeny namierzyliśmy najpierw w kwietniu, a potem w maju tego […]
[…] rodzimym scamerom, których działania opisywaliśmy pod koniec kwietnia, chyba skończyła się kasa z subskrybcji SMS-owej, bo od 2 dni przez polskiego Facebooka […]
ja dałem się złapać na wiadomosci.pl , teraz niewiem jak to
gówno usunąć…
Pan Rutz Damian -_-
Dzisiaj kumpela mi przyniosła lapka z podobnymi objawami. Zaisntalowana była aplikacja Facebook: wiadomości-info albo info-wiadomości. Wyłączyłem aplikacje w ogóle. Powinien być spokój.