11:52
2/4/2013

Wczoraj na stronie Gazety Wyborczej na Facebooku pojawiły się mało wyszukane treści. Z racji Prima Aprilisa, część z czytelników podejrzewała, że mógł to być kiepski dowcip. Niestety, to nie był dowcip a błąd administratora strony Wyborczej na Facebooku — dał się złapać na phishing.

Phishing administratorów stron na Faceboooku

Kiedy my wczoraj, w ramach Prima Aprilis testowaliśmy waszą odporność na Facebookowy phishing okrazało się, że równocześnie z nami (a tak naprawdę od Soboty) ktoś przeprowadza prawdziwy, bardzo podobny atak wymierzony w konkretne osoby — administratorów popularnych polskich fanpage’y na Facebooku.

Atakujący pisał do administratorów następującą wiadomość:

Atak socjotechniczny na adminów polskich fanpages

Atak socjotechniczny na adminów polskich fanpages

Atak socjotechniczny na adminów polskich fanpages

Atak socjotechniczny na adminów polskich fanpages

Po kliknięciu na link, oczom ukazywała się fałszywa strona do logowania do Facebooka:

Fałszywa strona logowania do Facebooka wygenerowna przez atakującego

Fałszywa strona logowania do Facebooka wygenerowna przez atakującego

Atakujący przy jej pomocy przychwytywał login i hasło naiwnego administratora. Tym, którzy byli podejrzliwi i pytali się atakującego dlaczego obejrzenie zdjęcia przekierowuje na stronę logowania, atakujący odpowiadał w ten sposób:

Atak socjotechniczny na adminów polskich fanpage

Atak socjotechniczny na adminów polskich fanpage

Ofiarą padły m.in. Gazeta Wyborcza , która w tym artykule przepraszała czytelników za niecenzuralne słowa, które padły na jej fanpage z ust …Donalda Tuska:

Fanpage Gazeta.pl zhackowany

Fanpage Gazeta.pl zhackowany fot. pej.cz

Gazeta skontaktowała się z polskim przedstawicielem Facebooka i udało się jej odzyskać swoje konto. Inni administratorzy przejętych stron zgłosili sprawę na policję (zgłaszać należy w Warszawie na ul. Wilczej) i jest szansa na ujęcie sprawcy. Facebook przysłał maila, że prawa administratora zostały utracone poprzez działania osoby z adresu IP z okolic Włocławka, a administrator serwera na którym hostowany był phishing też ma pewien materiał dowodowy:

Faktycznie ta osoba przechwytywała hasła, czego robić nie powinna. Prosty skrypt, rodem ze zwykłego poradnika podstaw php, który gromadził w jednym pliku tekstowym login i hasło wpisywane w formularzu.
Logi zostały zabezpieczone, wszytko w nich jest. Posiadam 2 numery telefonów które w tamtym dniu doładowały portfel na kwotę równą kwocie zamówionego przez “hakera”.

Jeden z poszkodowanych

Jeden z poszkodowanych

Wielokrotnie uczulamy Was na ataki socjotechniczne — są one stosunkowo proste do przeprowadzenia (nie wymagają wielkiej wiedzy technicznej), a jak widać, skutki mogą być tragiczne. Sprawy w kontekście Facebooka nie ułatwia dość toporna ścieżka reklamacyjna…

Rady dla administartorów fanpage’y

Standardowe:

    1. Zawsze patrz na pasek adresowy na stronie logowania. Czy domena jest prawdziwa?

    2. Włącz podwójne uwierzytelnianie na Facebooku — jeśli atakujący przechwyci wasze hasło, nic nie zrobi, bo będzie potrzebował jeszcze kodu z SMS-a, który zostanie wysłany na Wasz telefon. Podwójne uwierzytelnienie można także włączyć dla GMaila i Dropbox, co również polecamy.

PS. Lista innych fanpage’y, które zostały przejęte (sporządził blog przerwanareklame.pl)
Kia Motors Polska
Axe
Wódka Żołądkowa Gorzka
I <3 Truskawki Germanos Pizza Citroen Polska (informacja niepotwierdzona) Algida Polska (informacja niepotwierdzona) Gazeta Wyborcza PIWO Weź sie tato… Aktualizacja
Agencja odpowiedzialna za PR Facebooka w Polsce podesłała następujące oświadczenie:

W dniu wczorajszym wielu administratorów padło ofiarą ataków phishingowych, które na stronach bliźniaczo podobnych do portalu Facebook nakłaniały do podania swojego loginu i hasła.
Aktualnie działamy wspólnie z tymi administratorami, którzy skontaktowali się z nami w celu pomocy w odzyskaniu dostępu do swojej strony. Wszystkim innym administratorom, którzy pracują z naszymi zespołami sprzedaży, zalecamy kontakt z odpowiednim opiekunem klienta portalu Facebook.
Zaatakowane konta mogą być także zgłaszane pod adresem facebook.com/hacked.
Aby uzyskać więcej informacji dotyczących phishingu i obrony przed atakiem, prosimy odwiedzić facebook.com/help i kliknąć „security” („bezpieczeństwo”)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

73 komentarzy

Dodaj komentarz
  1. “Gazeta skontaktowała się z polskim przedstawiciele Facebooka i udało się jej odzyskać swoje konto.”

    To tak się da? Do dzisiaj żyłem w świadomości, że fejsbuk nie ma możliwości* oddania fanpejdża poprzedniemu właścicielowi po przejęciu go przez osobę z zewnątrz.

    *nie chce

    • Duży może więcej. Gdyby tego nie zrobili to by wyrósł ogólnopolski skandal, a Polska to niezły rynek fejsbuniowej reklamy.

  2. Nie myślałem, że administrator strony na FB da się nabrać na ordynarny phishing… Takie incydenty raczej źle świadczą o światku social media.

    • To pewnie nie “komputerowiec”, tylko student na umowie-zlecenie za 3zł/h.

    • Aż 3 zł? No to przenoszę się do warsiawki skoro tam takie eldorado.

  3. Socjotechnika to 70% wykonanego ataku. Do czego ludzie są zdolni.

  4. Podwójne uwierzytelnienie jest także w Cloudflare ;)

  5. Gość zajomał też fanpage ‘wszystkoopiwie’

  6. Boze widzisz i nie grzmisz…

  7. A kto jest tymże przedstawicielem Facebooka w Polsce i jak się z nim skontaktować?

  8. Hmm, a ja nie mogę włączyć 2-step auth w FB:

    http://i.imgur.com/MreVKes.png

    Ustawienia Chrome:

    http://i.imgur.com/4ZvlPQ3.png

    • Też nie mogę włączyć, a mam tylko third-party zablokowane.

    • Ściągnij Firefoksa. Przez 2 tyg. korzystaj z Fb z FF (z domyślnymi ustawieniami) …i będzie się dało. Chodzi o czyszczenie/blokowanie ciasteczek.

    • Przeczytaj komunikat…

      FB: “Your browser is set to automatically clear cookies whenever it closes.”
      Twój Chrome: “Zachowuj dane lokalne tylko do zamknięcia przeglądarki”

      Przecież masz napisane, dlaczego się nie da!

    • Nie trzeba przechodzić na Firefoxa. W IE tez da się odpalić dwuskładnikowe uwierzytelnianie, byle tylko przez kilka dni nie były usuwane ciasteczka Facebooka (dodać je do wyjątków) a poziom prywatności nie był wyższy niż średnio-wysoki. Bardziej niezawodny jest generator kodów na smartfonie niż sms.

  9. @bartek
    Odblokuj lub daj w wyjątkach cookies Facebooka. Jeżeli używasz CCleanera to tam też zaznacz.

    Nie usuwaj ich jakies 3 dni.

    To samo robiłem kilka dni temu. Działa.

  10. Ten Włocławek to chyba nie do końca tegez, bo u mnie wszystkie logowania z iOS przedstawiają się jako:

    Location: Wloclawek, KP, PL (Approximate)
    Device Type: Facebook for iOS on iOS 6

    (a nie jestem z Włocławka, ani nie zauważyłem aby coś było nie tak z moim kontem)

    • Z doświadczenia wiem, że “adres w pobliżu Włocławka” oznacza dość często właśnie zmienne IP. Nie pamiętam jednak, jaki to był ISP, jednak lokalizacja była… hm… parę km od Włocławka, w okolicach krajowej 1 lub 62*.

      Tak samo dość dużo IP wskazuje na koordynaty o dość ‘równych’ współrzędnych geograficznych (np. Niebezpiecznik ma lokalizację 52N20E), a nie na rzeczywistą lokalizację serwera/hosta.

      *Jak tak próbuję dopasować w miarę równe koordynaty, by pasowały do tego, co pamiętam, to wychodzi, że to było 52.6N19.1E.
      Nie zdziwię się, jeśli dokładnie to samo otrzymali Facebookowi spece, tylko po samym IP. Teraz tak naprawdę wszystko zależy od tego, czy ISP będzie się guzdrał z udostępnieniem danych osoby, która korzystała z danego IP.

      Patrząc po samym opisie i zastosowaniu przejęcia tych kont… ktoś, kto się nudził i nie pomyślał o konsekwencjach. Zapewne jakiś dzieciak, który chciał się popisać. To tak patrząc po tym, że nie ukrył IP, przejęcie haseł udało mu się chyba tylko dlatego, że administratorzy naprawdę nie myśleli… Wiadomość z wyjaśnieniem, dlaczego się człowiek musi się logować ponownie jest paskudnie napisana, to powinno wzbudzić podejrzenia. Tak samo już sam fakt potrzeby logowania – zerk na adres i już sprawa powinna być jasna…

    • Są dwa rozwiązania: mieszkasz niedaleko Włocławka lub korzystasz z internetu od dostawcy z Włocławka (radiowy, mobilny)? A może korzystałeś z internetu na terenie Włocławka?

    • Mógł też korzystać z proxy. Sam wiem o paru serwach proxy które działają z IP spod Włocławka.

    • !Andriu: Jak już napisałam: lokalizacja IP nijak się ma do lokalizacji hosta, kiedy chodzi o zmienne (ale też nie zawsze) IP.
      Mieszkam w pobliżu Włocławka, IP starego ISP (lokalnego), stałe do tego, zgłaszało się we Włocławku (kit z tym, że w lesie). Jednak IP komentarza wyżej, inny ISP, zmienne IP – zgłasza się w Bydgoszczy.
      A tamta osoba, na której się przejechałam była z okolic Warszawy, z Włocławkiem żadnej styczności nie miała.

  11. No litości…
    Przecież takie rzeczy to powinien pierwszy lepszy ‘informatyk’ wiedzieć…
    No ale jak ‘administratorami’ fanpage’ów są agencje reklamowe i PR, które nie mają zielonego pojęcia o bezpieczeństwie, a zajmują się tylko wrzucaniem fotek i newsów – to nic dziwnego, że dali się złapać na tak prostacki ‘phishing’ ;)

    • Zdaje się, że duże firmy zleciły prowadzenie fanpages agencjom reklamowym. Za taki poziom wiedzy security powinny one słono zapłacić. Nawet nie potrzeba zamawiać szkolenia do firmy, by tak podstawowych zasad security się nauczyć.

      PS
      Nic nie pomoże jeśli ludzie dadzą się złapać na prymitywny phishing. Zawsze najsłabszym ogniwem jest człowiek, obojętne o jaki system chodzi (wiadomo przecież, że większość katastrof lotniczych zdarzyła się z winy zaniedbań człowieka, a nie awarii sprzętu). Internet jest więc pod tym względem odbiciem świata realnego.

  12. Najwygodniej zapisać hasło w przeglądarce. Wtedy się autouzupełni tylko na prawdziwej stronie i tylko z włączonym SSL, jeśli za pierwszym razem połączenie było po https. Są, oczywiście, sposoby na sposoby, ale przed takimi najprostszymi phishingami chroni doskonale.

    • …chyba że ktoś wejdzie z twojego komputera, skopiuje hasło i zapisze (albo hi-tech – pendrive, albo low-tech – kartka i długopis). Lepiej mieć hasła w głowie. Żadne tam keypassy-srasy, tylko pamiętać.

    • Zapamiętaj 50 haseł typu @#$ert67Huv, na dodatek do zmiennych loginów i używaj ich raz na ruski miesiąc, do tego często je zmieniaj.

    • Już lepiej zapisać do menedżera haseł wymagającego z kolei zalogowania jednym hasłem, które może być dość złożone ale jednocześnie stosunkowo łatwe do zapamiętania. Taki moduł mają niektóre antywirusy (np. Norton), nie mówiąc o rozwiązaniach typu LastPass czy KeePass. Taki menedżer haseł można też zaprogramować tak, by wylogowywał się po pewnym okresie bezczynności. Jednak podstawą jest internetowy BHP (czytaj rozum).

    • Ktokolwiek, bo to się takich haseł nie ustawia, tylko się je wymyśla “metodą na xkcd” (dałbym linka do stosownego komiksu, ale nie pamiętam). Ew. z dodatkowymi znakami, jeśli dany serwis ich wymaga (jeśli są wymagane znaki specjalne i cyfry, można np. dać & i trójkę).

    • Addendum: Wtedy da się łatwo je zapamiętać.

  13. […] się, że najbardziej prymitywny i prostacki phishing cały czas działa. Wczoraj jak podaje Niebezpiecznik.pl Gazeta.pl i kilka innych firm straciły swoje fanpage na Facebooku. Wszystko […]

  14. “jest szansa na ujęcie sprawcy”

    Phishing z prawdziwego IP? LOL :)

    • Mi ktoś z prawdziwego IP robił niezamówionego pentesta.

  15. […] Źródła: Czas na reklamę: Największe polskie marki straciły swoje facebookowe strony! Niebezpiecznik: Fanpage Gazety Wyborczej przejęty […]

  16. a mi wydaje się, że Niebezpiecznik swoim żarcikiem podsunął pomysł ‘hakerowi’ .. ;>

    • Pierwsze doniesienia o atakach na popularne Fanpage są z soboty, więc chyba raczej nie. Zresztą, phishing jest stary jak świat.

    • to może odwrotnie ;D

  17. hahahaha nie wierze, kto tam pracuje? żeby nabrać się na coś tak prymitywnego… :D
    To dowód że w największych facebook’owych markach pracują jeszcze ludzie mniej niekompetentni od przeciętnego nastolatka, co daje duże pole do popisu (if u know what i mean) :D

    • Nie znam realiów, ale zapewne różne słabo wynagradzane osoby na śmieciowych umowach. Ale żeby ich nie przeszkolić z podstaw bezpieczeństwa. No cóż no comment.

  18. Jakoś GW nie żal :)

    • No po raz pierwszy napisali prawdę :D

    • Żal, że dali się złowić na prymitywny phishing.

  19. Nie chce mi się wierzyć, że sprawca nie korzystał z TORa, albo jakiegoś VPN. Jeśli ten IP z okolic Włocławka należy do niego to wcale mi go nie żal.

  20. “Wczoraj na stronie Gazety Wyborczej na Facebooku pojawiły się mało wyszukane treści” – czyli dzień jak co dzień. Ktoś poza adminami zauważył zmianę?

  21. Popatrzcie na stronę Panoramy Kultur pk.org.pl :)

    • Brawo chlopczyku, wygrales 4 internety. Jednak zamiast psuc internet lepiej odrob zadanie domowe i sie przygotuj na jutrzejsza kartkowke z przyrody.

  22. Zawsze widziałem w socjotechnice potężną broń, zwłaszcza w czasach mądrych telefonów i głupich ludzi.

  23. Mam nadzieję, że ludzie nabierający się na phishing pod domeną boo.pl, to część żartu prima aprillisowego.

    • Jak tak myślałam sobie o tym, dlaczego ten hosting. Część darmowych ma możliwość wyłączenia reklam na krótki czas za niewielką opłatę – akurat by mu starczyło.
      Ale jak przez chwilę pomyśli się – umysł ludzki ‘skanuje’ wyrazy, zwraca uwagę tylko na początek i koniec. ‘boo’ mogło się tym sposobem prześlizgnąć, bo ‘facebook’ ma tę cząstkę w sobie. facebook.boo.pl wygląda bardziej naturalnie niż np. facebook.webd.pl, czy coś innego (przepraszam, jeśli uzna to ktoś za reklamę – ale po prostu miałam znajomą, która z obu hostingów korzystała i tak jeden mi się z drugim kojarzy).

  24. @lol19
    Wystarczy kliknac na dwa linki na tej stronie i juz dam glowe ze te inty ( dzial.php?id=52 itp. ) sa niezabezpieczone xD

    @topic
    Nawet nie żal , trzeba być idiotą, eot

    • Alex są:)

  25. nowy tag w security-oriented newsach:
    #ipspodwloclawka

    :D MSPANC

  26. a dopiero co mówili i trabią, żeby nie klikać w nieznane linki… ;P

  27. “sobota” nie “Sobota” chyba ze po niemiecku myslisz ze piszesz :)

    • Wy*** na forum polonistyczne. Niebezpiecznik to nie miejsce dla ciebie. Język służy do komunikacji – dopóki rozumiesz o co chodzi to się nie odzywaj. Oczywiście czasem są przegięcia, ale podstawową rolą języka jest komunikacja, więc dopóki ona następuje, zasady ortografii, interpunkcji i gramatyki są sprawą drugorzędną.

    • Przykro mi SuperTux, ale niebezpiecznik to raczej nie miejsce dla ciebie. Poczytaj sobie inne artykuły, dyskutuje się tu czasem o takich niuansach językowych, że pewnie ugotowałbyś się ze złości.

  28. Tylko czekać, aż jakiś debil z wyborczej wpadnie na pomysł ami minister Boni zakazał hakowania ustawą i kazał monitorować internet w imię wyższego dobra i solidarności społecznej.

  29. A KIA Motors Poland jeszcze poniedziałek po południu mi odpowiedziała. Teraz sie zastanawiam czy to kia czy hakjer.

  30. Może to Armaged0n uderzył? :D
    A patrząc na linki, to chyba niektórym trzeba jakiś plugin w przeglądarce zainstalować, który po kliknięciu w link wyświetli na cały ekran adres na który przekierowuje kliknięty link i zmusza do przeczytania go 3 razy.

    • Niestety, nie pomoże.
      Ci od PR nie maja pojęcia co to jest adres url.
      Oni tylko potrafią “fanpejdża” założyć.
      :-)

  31. Jak 1 kwietnia wchodziłem na fb to wyświetliła mi się informacja, że ktoś logował się na moje konto z przybliżonej lokalizacji wrocławek ok. 3:10, a konto zostało zablokowane. Na fb nie logowałem się od początku świąt, a w historii nie widnieje fałszywa strona :/ Tak czy inaczej konto odzyskałem ale musiałem rozpoznawać znajomych ze zdjęć.

  32. Ktos, kto daje sie “zlapac” na tak niewyszukany “atak” nigdy nie powinien piastowac stanowiska administratora. No, moze poza administrowaniem serwerem Towarzystwa Wielbicieli Nalesnikow Non-Profit, bo tam raczej wielkich szkod swoja naiwnoscia nie narobi.

    Z drugiej strony jakie czasy – tacy pracownicy. Zyjemy w czasach, w ktorych ludzie nie znaja jezyka ojczystego, podejmuja studia na danym kierunku wylacznie dla przyszlych profitow, jakie mialby im obiecywac dany zawod, sa skrajnie emocjonalni i uspolecznieni [uzaleznieni od spoleczenstwa i od sieci spolecznosciowych], to trudno sie dziwic, ze jest jak jest. Znaczna wiekszosc ludzkosci zatracila umiejetnosc krytycznego, logicznego myslenia, bo takie jest mozliwe jedynie na gruncie intelektualnej niezaleznosci, glebokiego samorozwoju.

  33. Pytanie. Jezeli jestem zalogowany do fb i klikam w podeslany tego typu link to na spreparowanej stronie nadal bedzie sie trzeba zalogowac? Przeciez to juz odrazu wydaje sie podejrzane. No chyba ze cookisy wykrada? Moze ktos to rozpisac na czynniki pierwsze?

  34. I właśnie przez FB rosną pokolenia IDIOTÓW, zero myślenia, widać że facebook.jakaśdomena ztyłka.pl a oni bez namysłu klikają, logują się. Już jest źle, zobaczycie jak będzie za kilka lat. Jestem studentem i ostatnio byłem z wizytą w moim technikum, akurat były zajęcia 2 klasy informatyki, kolesie prosili panią nauczycielkę o ściągnięcie i zainstalowanie kompilatora, bo oni nie umieli. Koleś obok siedzi przy komputerze, na którym jak byk widać przekreślone połączenie sieciowe(widziałem stojąc 5 m za nim), a on w startowych googlach offline szuka i szuka i ciśnie i nie działa. To samo z rokiem niżej na studiach, bez telefonów, zdjęć, fejsa nie potrafią pomyśleć, przychodzi kolokwium a ci tylko kombinują jak by ściągnąć z telefonu. Jest już źle – będzie gorzej. Pozdrawiam

  35. Wychodzi na to, że zapamiętanie hasłem przez przeglądarkę albo jakiś program np. LastPass, nie jest do końca takie złe. Uchroniłoby prawdopodobnie w tym przypadku niektórych.

  36. Czy ja dobrze widzę? Redakcja używa Mac’a (trzeci screen)?

    • Y… od zawsze…

  37. “Aktualnie działamy wspólnie z tymi administratorami, którzy skontaktowali się z nami w celu pomocy w odzyskaniu dostępu do swojej strony. ” – czy tylko ja odnoszę wrażenie że to może być całkiem niezła okazja żeby podwędzić jeszcze kilka kont (podszywając się pod właściciela-ofiarę)?

  38. Doigrali się.

  39. Przecież facebook ma najbliższą centralę w Irlandii? A na prośby i skargi odpowiada automat.

  40. ja nie mam z tym problemu, a dokładnie mówiąc nie korzystam z książki twarzy.

  41. Ciekawe, kiedy ktoś wpadnie na pomysł, żeby, jadąc “na fali” takich włamów, podszyć się pod biednego admina (spoofując From: ) i “odzyskać” cudzy fanpage? :P

  42. A ja mam magiczne pytanie … jak skontaktować się z polskim przedstawicielem facebook ?
    I to nie jest ironie tylko na poważnie pytam.

Odpowiadasz na komentarz Kaa

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: