9:00
6/11/2017

Bardzo ciekawy przykład phishingu na Facebooku podesłał nam jeden z czytelników, pracownik agencji obsługującej wiele profili z dużymi liczbami fanów — a takie są zawsze łakomym kąskiem facebookowych złodziejaszków.

Fałszywe powiadomienie na Facebooku

Atak zaczyna się od tego, że administrator strony widzi następujące powiadomienie:

Nazwa profilu, który udostępnia wiadomość to Notifications Ads Maneger. Brzmi (i wygląda) jakby było to powiadomienie od Facebooka. Ale to po prostu zwykłe konto, które ktoś tak nazwał i ustawił “facebookowy” avatar.

Po kliknięciu w powiadomienie ofiara jest przenoszona na stronę posta fałszywego konta (bo powiadomienie właśnie “udostępnienia” posta dotyczyło). A w poście tym ofiara przeczyta, że “jej strona zostanie skasowana”, bo któryś z użytkowników zgłosił naruszenie.

Ofiara może się oczywiście odwołać, wystarczy, że klinie w podany w poście link …który oczywiście prowadzi do fałszywej strony logowania:

Ot, socjotechnika! Na przerażonych, nie do końca informatycznie świadomych administratorów różnych kont niestety działa. A co potem? Albo “przejęcie” fanpage i spamowanie fanów jakimiś wpisami, albo — jeśli ofiara miała podpiętą kartę płatniczą — wykupienie reklam promujących spam i opłacenie ich kartą ofiary…

Ustaw 2 składnikowe logowanie do Facebooka

Przypomnijmy na koniec, że przed takim atakiem ochronić może włączenie dwuskładnikowego logowania.

Wtedy, poza podaniem hasła wymagane będzie podanie kodu z mobilnej aplikacji Facebooka lub użycie tokenu U2F (np. Yubico) — Facebook ma dla niego od dawna wsparcie i każdy powinien taki klucz nabyć i podpiąć do swojego konta. Nie tylko na Facebooku, ale także na GMailu, Githubie, Dropboksie. Dlaczego to istotne i jak to możliwe, że korzystanie z tego klucza uniemożliwia ataki phishingowe, które teraz są najpopularniejsze — o tym pisaliśmy w tym artykule, który powinniście obowiązkowo przeczytać, jeśli korzystacie z GMaila, Facebooka, Githuba lub Dropboksa.

Przeczytaj także:

55 komentarzy

Dodaj komentarz
  1. Juz sama tresc powiadomienia budzi podejrzenia za sprawą użytej łamanej angielszczyzny…

    • Już samo włączenie maszyny mającej wpiętą wtyczkę od Internetu lub sprzęt do WiFi budzi podejrzenia, czy dzień się zakończy normalnie… :)

    • Pewnie ten sam powód, co przy standardowym 419. Nieprofesjonalny język zniechęci sprytniejszych zanim oburzą się na fakt oszustwa na tyle, żeby aktywnie próbować przeszkadzać atakującemu :P

  2. Jak ludzie mogą łapać się na manEgera i taki engrish? Życie musi być wyjątkowo ciężkie bez znajomości angielskiego w 2017.

    • Ciężko to jest jak się widzi wśród szeregów kadry kierowniczej w firmie z którą się współpracuje dwóch dla odmiany menagerów podpisujących się tak w oficjalnych mailach.

  3. Mozna ten problem rozwiązać łatwiej. Nie używać Facebooka.

    • Jeszcze łatwiej – nie używać komputera.

      /s

    • No, szczególnie jak się pracuje w agencji reklamowej. Można przecież nie pracować, nie?

    • A najłatwiej-nie używać prądu

    • Jak chcesz dotrzeć do nowych klientów, to raczej musisz (bo mowa tutaj o fanpage, a nie normalnym koncie).

    • Imho dla mnie Facebook to dziwaczny twor. Wole zamiast likeowac spotkać się że znajomymi w klubie i przybic piątkę.

      Co do grup i trafienia do klientów…
      Już nie raz spotkałem się z sytuacją gdzie chciałem skorzystać z jakiejś promocji, usługi i wymogiem było mieć konto Facebook i dopisać się do grupy… whaaat?!

      Co więcej ‘patologia’ grup jest również w szkołach. Na zajęciach informatyki w szkole średniej mojego brata nauczycielka wstawiania jedynki za brak konta na Facebook i dopisania się do grupy bo zadania w trakcie lekcji i domowe wysyłala na grupę facebokkowa.

    • Czyżby nauczycielka dopiero co skończyła gimnazjum, że wymaga konta na Pejsbuku? Oficjalna korespondencja to jednak e-mail, a nie grupy na Pejsbuku.

    • @Wonsz
      A co ma piernik do wiatraka?

    • Wymaganie konta na Facebooku to już w szkołach normalka. Nauczyciele często wrzucają materiały do sprawdzianów na grupę na FB, bo nie chce im się inaczej. Albo czasem dadzą wydrukowane materiały lub nawet zadania do pracy domowej (!) tylko jednej osobie w klasie i ta osoba ma podzielić się z resztą. Oczywiście zrobi to na FB, bo dzisiaj większość młodych ludzi nie używa innej metody komunikacji. Więc jak nie masz konta na FB to nie masz dostępu do grupy. a że nikt nie będzie za Ciebie niczego pilnował, musisz za każdym razem prosić innych żeby Ci wysłali te materiały i prace domowe innymi drogami.

      Rezultat jest taki, że uczniowie są często zmuszani do posiadania kont na Facebooku.

  4. Wystarczy przed logowaniem sprawdzić czy adres strony jest prawdziwy i nie straci się konta. Szkoda tylko że dużo osób z automatu wpisuje dane gdzie popadnie nie patrząc na tak ważną kwestię.

  5. Okej, socjotechnika socjotechniką, ale czy tylko mi się wydaje że ten post jest napisany jakimś dziwnym translatorowym angielskim?
    “if you do not confirmation”?

    • Nie wydaje Ci się. Jest tam kilka błędów świadczących o tym, że to jakaś ściema.
      Poza tym, za głupotę/niewiedzę trzeba płacić. Niestety – niektórzy uczą się jedynie na własnych błędach…

    • Nie.

  6. Generalnie nigdy nie podaję telefonu na Pejsbuku, ani na Googlach od kiedy obaj szefowie firm byli na Bilderbergach, żeby spikować przeciw ludzkości. robię to po to, żeby mnie nie spamowali komunikatami i reklamami, a być może i wirusami. Nadal żyję i nadal konto jest moje. Androida dużo łatwiej zhaczyć, niż normalnego Linuksa, chociażby ze względu na bardzo rzadkie aktualizacje, jeśli w ogóle są.. Co do uwierzytelniania dwuskładnikowego, też da się bez niego żyć w miarę bezpiecznie – przysyłają ci ew. kody na e-mail i wystarczy patrzeć, co jest w pasku adresu, żeby wiedzieć, czy to phishing, czy nie. Nie ufam jakimś dziwnym dostawcom bezpieczeństwa tylko dlatego, że mogę potwierdzić, że nie jestem wielbłądem, bo do tego się sprowadza działanie tych dziwacznych serwisów.

    • Nie prościej porzucić to wszystko i zaszyć się gdzieś w amazońskiej dżungli?
      Albo pojechać na kraniec Ziemi (bo przecież jest płaska, prawda?)…

    • Proponuję wysłać do Piotra referat o tym, jak założyłeś dziś w pełni działające nowe konta w 10. najbardziej popularnych serwisach (top 10 Internetu) bez podawania numeru telefonu (podanie numeru telefonu “słupa” się nie liczy). Jeśli we wszystkich 10. się uda, to aż sam poczytam. :)
      Zresztą trolling i scamy są przyczynkami do identyfikowania użytkowników.

    • @Adam: Dlaczego zakładasz, że świadomego użytkownika Internetu musi w ogóle interesować “top 10 serwisów”? :P

    • Zwykle nawet jeśli wymagają telefonu, można dać jakieś totalnie fejkowe, albo telefon swego wroga ;-) Kiedyś nawet spotkałem się z takim dziwadłem, ze żądali mego stacjonarnego (lol). Było to w latach 90tych ubiegłego wieku i nie była to firma polska a raczej jakaś offshore.. Co do .top 10… Które to, bo ja jakiś cyberjaskiniowiec, co pamięta czasy, gdy anonimowości w sieci była dużą wartością. Dużo większą niż kontaktowanie się na siłę ze wszelkimi lemingami na Pejsbuku. Ja naprawdę nie czuję potrzeby bycia znajdowanym na Pejsbuku przez byle kogo.

    • @dos: Nigdzie nie podawałem takich założeń. Granie w Dooma II na natywnych maszynach z kumplami przez prawdziwy port szeregowy jest spoko… :)

      @Moneetor: Ja wziąłem pierwszą lepszą listę Top 10 z wyszukiwarki, ale wystarczy już nawet ograniczyć się do przywoływanych produktów Google i jest zonk dla nowych. :) Numer telefonu pomaga w wielu rzeczach (korporacjom też). Podawanie nieistniejącego numeru nie przejdzie w dobie konieczności weryfikacji przez PIN. Wklepywania czyjegoś numeru nawet nie komentuję. No i w sumie do posiadania tych kont nikt nie zmusza… :)

    • @Adam: Zawsze można podać nr karty wsadzonej akurat do modemu GSM które programowo przyjmują tylko SMSy ale odrzucają wszelkie połączenia głosowe. Albo w PLAY wykupić wirtualny numer a potem go zmienić lub skasować. Możliwości są, bardziej chęci brak.

    • Nie da się założyć konta Google bez podania i zweryfikowania numeru telefonu. Z kontem Facebook chyba też tak jest. Wiele serwisów wymaga weryfikacji numeru. Ja z takich stron nie korzystam, ale jest to niepokojące biorąc pod uwagę jak łatwo jest podszyć się pod kogoś przez telefon i jak łatwo jest podsłuchać taką komunikację, już nie mówiąc o możliwym nagrywaniu przez operatora. Sieć telefoniczna nie jest bezpieczną technologią i nie powinna być używana do weryfikacji niczego. Chyba, że brak bezpieczeństwa jest naszym celem.

    • @Wymóg:
      > Sieć telefoniczna nie jest bezpieczną technologią i nie powinna być używana do weryfikacji niczego.

      Może mi jeszcze powiesz, że lepiej niech każdy złodziej będzie anonimowym użytkownikiem TORa i w razie wpadki uzyska nową tożsamość za darmo w ułamek sekundy?

      Weryfikacja po numerach jest dobrą rzeczą, tylko powinna być ona wręcz wymagana przed możliwością jakiejkolwiek interakcji z innymi.

    • @Adam Tor nie chroni przed policją. Odnalezienie przestępcy, który z niego korzysta jest możliwe. Chroni za to przed masową inwigilacją niewinnych ludzi i cenzurą internetu.

      Nie bardzo rozumiem co ma jakiś złodziej wspólnego z tym o czym rozmawiamy. Chcesz powiedzieć, że lepiej by było jakby każdy system był łatwy do złamania dla każdego, bo wtedy łatwiej będzie policji hakować przestępców? W takim świecie nic nigdy nie byłoby bezpieczne dla nikogo. Nie sądzisz, że sieć, na której polegają codziennie miliardy ludzi powinna być bezpieczniejsza?

  7. Jak to dobrze, że nie używam tego i nie mam zamiaru… ;-)

  8. Przydałaby się jakaś akcja wspólnego kupowania yubico, może niebiezpiecznik by coś takiego zorganizował?

  9. Ani osobiście nie mam fakebooka, ani firma w której pracuję. W firmie zarząd jeszcze ubolewa, że prawo wymaga, by miał stronę internetową, bo też by jej nie chciał, ale musi. Zarząd twierdzi, że przez internet nie pozyskał ani jednego poważnego klienta, a jak już jakiś się trafił, to jakieś pojedyncze fryzjerki czy kosmetyczki i jest zupełnie niezainteresowany reklamami w internecie. Aby było śmieszniej, większości klientów świadczymy usługi przez internet, więc nie jest to jakiś internetowy luddyzm ze strony zarządu. :-D

    • Moja stara /działająca 20 lat/ firma nie ma konta na fb. Jednak 2 założona w sierpniu nie ruszyła by bez tego dziadostwa.

  10. A czemu to ma szanse zadziałać? Bo Facebook lubi straszyć usunięciem czy zablokowaniem. Wpierw się uzależnia (czasem “zwyczajnie”, czasem ekonomicznie), a potem użytkownicy będą robili, co FB każe. Czy to instalowanie ich oprogramowania (“antywirus”), czy to swoje dane (wysyłanie dowodu). Mam stronę na FB w skali mikro, ale mimo to dość często dostaję wiadomości, że przykładowo ktoś zgłosił, że moja strona to blog, a nie strona internetowa (que?) i jeśli dopatrzą się w mojej odpowiedzi kłamstwa, to strona zostanie usunięta. Część stron zaczyna przypinać posty z info gdzie ich znaleźć jeśli znowu FB usunie konto. Dla mnie głównym agresorem jest tu FB, a takie scamy to jedynie ujadające psy (bez obrazy, chodzi mi o skalę).

  11. warto jeszcze wspomnieć, że raportujemy takie profile. ta technika jest staaara i fb szybko kasuje takie konta, które szerują “security notices”.

  12. Szkoda że aby aktywować two factor authentication trzeba podać numer telefonu.

    • Najtańszy modem GSM wpinany w USB budżetu nie rujnuje a włożona weń karta SIM odrzuca połączenia głosowe. SMSy działają. Jest też opcja wirtualnego dodatkowego nr jaki można wyłączać/zmieniać (patrz Play).

    • Żeby założyć konto Facebook chyba też trzeba podać numer telefonu.

    • @Monter
      Karty SIM trzeba w Polsce rejestrować. Nie każdy chce być inwigilowany do aż takiego stopnia.
      Tak przy okazji: ciekawego masz bloga, tylko szkoda, że blokujesz na nim użytkowników Tora. Twoja strona nawet próbuje mnie obrażać bezpodstawnie nazywając mnie spammerem. Nie ładnie.

    • @Wymóg – a co za problem kupić prepaid i zarejestrować tylko po to by wsadzić w modem i odbierać tylko SMSy lub mieć drugi nr do podawania ale bez zamiaru odbierania na nim cokolwiek? Lepiej tak niż podawanie swojego normalnego nr w abonamencie powiązanego np. z bankiem.
      A’propos bloga: ostatni raz tłumaczę: TOR jest dopuszczony ale tylko do czytania (GET). Blokowane są tylko inne typy połączeń. A skoro widzisz komunikat widocznie dostałeś IP bramy z której ktoś orał wcześniej mój serwer. Sorry, nie moja wina, nie będę się bawił w rozróżnianie na dobrych i złych cebulaków.

    • @Monter
      Ok, rozumiem. Tor istnieje po to, żeby zapewnić ludziom wolność w internecie i zapobiegać cenzurze, która jest też w Polsce. Nie chcemy przecież, żeby internet był kontrolowany przeż rządy państw czy określone firmy. Mógłbyś dodać dodatkowe captche dla użytkowników Tora, zamiast blokować im dostęp do określonych funkcji lub do całej strony. Teraz wygląda to tak, jakby nie interesowała Cię wolność innych, ani to, czy internet ją zapewnia. Odsiewanie spammerów jest konieczne, ale da się to zrobić tak, żeby nie blokować dostępu do czytania/zamieszczania treści. Mam nadzieję, że się nad tym zastanowisz. Dla dobra internetu :).

    • Jeśli dobrze rozumiem jak rejestrujesz SIMa, on jest powiązany z Tobą i wszystkimi kontami bankowymi, które posiadasz. Dlatego, że zarejestrowałeś ten numer i te wszystkie konta na te same dane osobowe. W takim razie nie ma znaczenia czy podasz numer z abonamentu, czy prepaida, bo one wszystkie zawsze będą powiązane z Twoimi kontami. Chyba, że miałeś na mysli coś innego.

    • @Monter: widzę że problem “jak nie podawać swojego numeru telefonu” rozwiązaliście “a co za problem kupić prepaid i zarejestrować tylko po to by wsadzić w modem (i podać)”. :)

      No i dlaczego tak mocno blokujesz TORa, skoro Piotr tak go reklamował ostatnio na dniach? :)

    • @Adam – odpisałem już na kwestię TORa gdzieś wyżej. To, że ktoś coś reklamuje nie oznacza, że ja muszę tego używać. Jeśli TOR oznacza wolny internet, to chyba tylko od strony prędkości. W sieci są miliony stron, coś się uparł na moją akurat?

      Co do numeru – prepaida równie dobrze możesz kupić w wersji Słup, jeśli boisz się podać własny nr. Ja osobiście wolę mieć taki jak napisałem – nie wsadzony do srajfona ani nie umożliwiający połączeń głosowych – przynajmniej mam spokój z głupimi telefonami, kampaniami, itp. W banku mam podany inny nr.

    • Pisze się “Tor” a nie “TOR”. Źródło: https://www.torproject.org

      @Monter, @Adam
      Polecam przeczytać to https://www.torproject.org/docs/faq-abuse.html.en#WhatAboutCriminals

  13. Mam to w czarnej dziurze.
    Co za świat. niebawem sama obsługa zje wam życie.
    Nie lepiej postawić własny serwer?

  14. Podałem adres email niebezpiecznika do newslettera, czy to już phising?

  15. Założyłeś prawdziwe konto na FB, to już biegasz nago po świecie. Możesz już tylko ewentualnie przybrać wyzywające pozy, żeby się bardziej obnażyć.
    Albo prywatność albo Zuckenberg, reszta to szczegóły.

  16. A ja dostałem takiego o to @

    Twoje hasło na Facebooku zostało zmienione w dniu 6 listopada 2017 o 17:35.
    Urządzenie: Galaxy Note 4
    Adres IP: 98.149.233.227
    Szacunkowa lokalizacja: Desert Hot Springs, CALIFORNIA, US
    Jeśli Ty to zrobiłeś(aś), możesz zignorować tę wiadomość e-mail.
    Jeśli to nie Ty to zrobiłeś(aś), zabezpiecz swoje konto.
    Dziękujemy
    Zespół Facebooka ds. bezpieczeństwa

  17. Nie wiem czy wiecie ale w regulaminie FB (obecnie dłuższego od konstytucji USA) jest wzmianka, że wasze zdjęcia mogą być użyte w reklamach (bez waszej uprzedniej zgody), gdyż wyraziliście na to zgodę akceptując regulamin przy zakładaniu konta.

  18. “lub użycie tokenu U2F (np. Yubico)” Tia, bo wy te tokeny sprzedajecie. TOTP (time based one time password) działa na Fejsie, na Google i w wielu innych miejscach (również SSH), nie trzeba za nie płacić, są apki na telefon (nie tylko Google Authenticator) i wtyczki do managerów haseł. W przeciwieństwie do Fejsa z konta Google można skasować nr telefonu po uruchomieniu TOTP.

    • Ty chyba nie rozumiesz dlaczego to musi byc token a nie aplikacja…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: