10:33
6/11/2020

Od mniej więcej tygodnia otrzymujemy od Was zgłoszenia ciekawego ataku. Skuteczność ataku podnosi usługa oficjalna usługa Google. Wszystko zaczyna się od prawdziwego e-maila pochodzącego od prawdziwej usługi Google Docs:

Jak widać, scamerzy wykorzystują funkcję “wspomnienia” w aplikacji Google Slides. Wystarczy na dowolnej prezentacji w chmurze Google dopisać komentarz i po znaku @ podać czyjś adres e-mail, a Google “zaspamuje” tę osobę powiadomieniem o komentarzu.

A co znajduje się w komentarzu? W przypadkach, które do nas dotarły, linki prowadziły do stron wyłudzających dane pod pretekstem, nazwijmy to, randkowania (np. https://mail-d[.]xyz/ntv/?ccr2), pokazując ofierze zachęcające obrazki i zadając jej szereg ciekawych pytań…

Z oczywistych powodów, scam ten opiszemy na innym przykładzie, który też pojawiał się w powiadomieniach, np. https://clck[.]ru/RhNWF. Po jego kliknięciu ofiara zobaczy znany scam “ankietowy”:

W zależności linku w spamie z Google Docs, finałem ataku jest:

  • kradzież Twoich danych osobowych (i późniejsza ich sprzedaż różnym firmom, które będą Cię spamować “sprofilowanymi” usługami)
  • wyłudzenie numeru Twojej karty płatniczej (pod pretekstem wygrania np. iPhona. Karta będzie obciążona na niewielką kwotę na poczet kosztów wysyłki, ale po kilku dniach zacznie z niej być pobierana opłata cykliczna w wysokości kilkuset złotych, o czym zresztą ofiara jest ostrzegana na stronie naciągaczy, patrz strzałki i ramki poniżej)

Albo obie te rzeczy jednocześnie:

Za atakami stoją osoby, które są zarejestrowane w różnych programach partnerskich i tą metodą nabijają sobie tzw. referale/leady. Za każdego nabranego, który poda swoje dane w formularzach na docelowej stronie otrzymują wynagrodzenie.

Co robić, jak żyć?

Niestety, za wiele z tym nie zrobicie. Google usuwa prezentacje, które są “nadużywane”, ale nie “cofa” e-maili, które zostały wysłane przez spamerów. Do spamu także ich nie wrzuca, bo …pochodzą z googlowych adresów. Jedyna rada to ignorowanie komentarzy z dokumentów Google, których istnienia nie jesteście świadomi i nie dawanie wiary, że czeka na was iPhone 11 PRO lub samotna, 24 letnia nimfomanka Matylda z Waszego osiedla.

Przeczytaj także:



29 komentarzy

Dodaj komentarz
  1. Dzięki za ten post, ja isętylko pytam, gdzie jest na stronie przycisk udostępniania na FB!?

    W takich przypadkach byłby bardzo przydatny. pomyślcie o tym

    • Po co Ci przycisk? Skopiuj link i sam wklej na FB.

    • Zawsze możesz użyć ctrl+c i ctrl+v i po sprawie.
      Albo na komórce wybrać z menu przeglądarki “udostępnij”.
      Albo wejść na fanpage niebepiecznika i udostępnić post.

      Generalnie więc ta opcja już istnieje w trzech wariantach, po co jeszcze przycisk?

  2. Najlepsze są te ogłoszenia, jak się mieszka na wsi i po geolokalizacji podstawia najbliższe wsie po kilkadziesiąt mieszkańców, ale lecą teksty typu “500 gorących dziewczyn czeka na Ciebie w Przydróżek” :P

    A google mógłby dodać na górze takich powiadomień informację, że jeśli pochodzi od nieznanego nadawcy, to nie należy w nic klikać i dać przycisk do zgłaszania nadużyć.

    • Do Przydróżka mam niecałe 2h jazdy. Może na wszelki wypadek jednak sprawdzę to z dziewczynami…

    • A potem całe życie będziesz żałował, że się nie wybrałeś jednak do Przydróżka, tego jednego dnia…

    • Ale jak tak można nie uwierzyć, że 500 dziewczyn czeka na Ciebie w Pcimu Dolnym? Przecież mogły przylecieć samolotem. ;)

  3. Nie wiem jak można nazywać zachęcającymi obrazki pokazane na screenach :D … a i jeszcze wpisywanie poufnych danych w celu wygrania czegoś – chwyty znane i wałkowane od 15 lat. Nic w tym ciekawego.

  4. Myślę, że Matylda z mojego osiedla mogłaby się na was obrazić, przez was nikt w nią już nie wierzy:(

  5. Moze komus sie nudzi i moglby zrobic skrypt, ktory zaspamowal by ich falszywymi numerami kart i danych osobowych? Moze przeszla by im ochota na takie zabawy jakby promil zebranych danych byl cokolwiek warty?

  6. Ten atak używa również Google Calendar

  7. Pani z obrazka miała chyba przeszczep głowy. Ach na nowoczesna medycyna.

  8. Ja ostatnio dostałem coś podobnego – email proszący o potwierdzenie, że korzysta się konta w domenie Outlook, bo inaczej konto zostanie zablokowane. Oczywiście adres prowadził do Google Docs

  9. Mi przyszło na adres email który podaję tylko w konkursach, typu Castorama, coca-cola, Almette itd… Chyba jakaś agencja reklamowa miała wyciek.

    • Możesz do każdego konkursu mieć konkretny e-mail i od razu będzie wiadomo skąd. Wystarczy użyć np. Adres+konkurs[@]Gmail.com

    • @Janusz no właśnie z tymi aliasami od Gmaila to lipa, bo większość skryptów sprawdzających pola e-mail z formularzy odrzuca znak plusa.

    • A niektóre strony nie uznają plusa bo mają zbyt ograniczoną walidację.

    • Może to Ty miałeś wyciek …

  10. No ja właśnie od 2-3 tygodni dostaje informacje, że ktoś wspomniał o mnie w (tutaj nazwa pliku w google docs), ale to powiadomienie dostaje tylko na telefonie, na mailu żadnych informacji. Raz zerknąłem na ten plik i coś tam było napisane, a niżej spis ponad 50 mailów.
    Plik od razu zgłosiłem, nie mogę teraz znaleźć gdzie na dysku google to widziałem, ale brakuje mi możliwości, aby takie wspominanie o mnie (moim adresie mail) w plikach było automatycznie zablokowane.

  11. Warto wspomnieć, że takie “wspomnienie” wysyła też powiadomienie na telefon co może być nawet bardziej złudne. Od jakiegoś właśnie tygodnia dostaję meile i to powiadomienia wydają się groźniejsze, bo pokazują tylko “someone mentioned you….”. O ile email łatwo wyłapać bo dziwnych loginów używają tak powiadomienie jest o wiele mniej oczywiste.

  12. U mnie o dziwo trafiło właśnie do spamu na gmailu. Za to dostałem powiadomienie na telefonie bodajże z Docs, ale przypadkowo usunąłem zanim zdążyłem przeczytać.

  13. Drogi “Redakcja”, musze zapytac ;)

    Ta dziewczyna po prawej obrazuje (doprecyzowanie/prezentacja) aktualnie zaznaczona opcje, czy to tylko statyczny obrazek? Chodzi mi glownie o poziom techniczny wykonania strony :p a dokladniej o to czy mamy tu do czynienia z technologicznym entuzjazta czy to tylko zwykla chaltura… xD

  14. Scam ankietowy z lecącym konfetti…
    Pytanie: czasami wchodzę na jakąś normalną stronę normalnej firmy i wyskakuje mi to coś. Czy to znaczy, że ktoś tą stronę “zainfekował” takim syfem, czy to mój komp coś złapał?

  15. Ja dostałem to już w 2 razy. Co ciekawe sam mail ląduje w moim przypadku w spamie, ale dostaję też powiadomienie push na telefon z aplikacji Dysk Google o komentarzu.

  16. A ja mam takie pytanko. Często dostaje rożnego rodzaju spam i pewnie w większości jest to phishing, ale nigdy tego nie otwieram. Przede wszystkim z obawy przed wirusami. Ale chciał bym czasem zobaczyć co tam jest ciekawego i jakie nowe techniki sa stosowane. Czy zwykły antywirus wystarczy do takich działań czy polecacie jakies inne rozwiązania? A może w ogóle raczej się nie zdarza żeby w takich stronach były wirusy.

  17. Pierwszy opisany atak, z formularzem rejestracyjnym na stronie randkowej, to nie wyłudzenie danych, a zachęta do założenia konta – faktycznie istniejącej stronie, która daje klientom rozmowę z moderatorami (oni nie koniecznie o tym wiedzą, że to nie laska po drugiej stronie :)). Ot ktoś wziął sieci afiliacyjne i promuje się w ten…wątpliwy sposób :)

  18. Serio, google ma cały potężny aparat inwigilacji i np. wie, że konto, z którego pochodzi prezentacja nie ma wcześniejszych kontaktów z kontem ofiary, wie, że kontakty obu kont się nie zazębiają. Na tej podstawie może łatwo zdecydować o wysokim prawdopodobieństwie oszustwa i nie wysyłać powiadomienia.

  19. Co jak co, ale te Dojrzałe Flirt Kontakty to złoto – szczególnie losowe username’y i scrapowane Bóg jeden wie skąd zdjęcia profilowe, na przykład mój ukochany AnalnyBob ;^)

  20. Skuteczność ataku podnosi usługa oficjalna usługa Google

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: