6/11/2020
Od mniej więcej tygodnia otrzymujemy od Was zgłoszenia ciekawego ataku. Skuteczność ataku podnosi usługa oficjalna usługa Google. Wszystko zaczyna się od prawdziwego e-maila pochodzącego od prawdziwej usługi Google Docs:
Jak widać, scamerzy wykorzystują funkcję “wspomnienia” w aplikacji Google Slides. Wystarczy na dowolnej prezentacji w chmurze Google dopisać komentarz i po znaku @ podać czyjś adres e-mail, a Google “zaspamuje” tę osobę powiadomieniem o komentarzu.
A co znajduje się w komentarzu? W przypadkach, które do nas dotarły, linki prowadziły do stron wyłudzających dane pod pretekstem, nazwijmy to, randkowania (np. https://mail-d[.]xyz/ntv/?ccr2), pokazując ofierze zachęcające obrazki i zadając jej szereg ciekawych pytań…
Z oczywistych powodów, scam ten opiszemy na innym przykładzie, który też pojawiał się w powiadomieniach, np. https://clck[.]ru/RhNWF. Po jego kliknięciu ofiara zobaczy znany scam “ankietowy”:
W zależności linku w spamie z Google Docs, finałem ataku jest:
- kradzież Twoich danych osobowych (i późniejsza ich sprzedaż różnym firmom, które będą Cię spamować “sprofilowanymi” usługami)
- wyłudzenie numeru Twojej karty płatniczej (pod pretekstem wygrania np. iPhona. Karta będzie obciążona na niewielką kwotę na poczet kosztów wysyłki, ale po kilku dniach zacznie z niej być pobierana opłata cykliczna w wysokości kilkuset złotych, o czym zresztą ofiara jest ostrzegana na stronie naciągaczy, patrz strzałki i ramki poniżej)
Albo obie te rzeczy jednocześnie:
Za atakami stoją osoby, które są zarejestrowane w różnych programach partnerskich i tą metodą nabijają sobie tzw. referale/leady. Za każdego nabranego, który poda swoje dane w formularzach na docelowej stronie otrzymują wynagrodzenie.
Co robić, jak żyć?
Niestety, za wiele z tym nie zrobicie. Google usuwa prezentacje, które są “nadużywane”, ale nie “cofa” e-maili, które zostały wysłane przez spamerów. Do spamu także ich nie wrzuca, bo …pochodzą z googlowych adresów. Jedyna rada to ignorowanie komentarzy z dokumentów Google, których istnienia nie jesteście świadomi i nie dawanie wiary, że czeka na was iPhone 11 PRO lub samotna, 24 letnia nimfomanka Matylda z Waszego osiedla.
Dzięki za ten post, ja isętylko pytam, gdzie jest na stronie przycisk udostępniania na FB!?
W takich przypadkach byłby bardzo przydatny. pomyślcie o tym
Po co Ci przycisk? Skopiuj link i sam wklej na FB.
Zawsze możesz użyć ctrl+c i ctrl+v i po sprawie.
Albo na komórce wybrać z menu przeglądarki “udostępnij”.
Albo wejść na fanpage niebepiecznika i udostępnić post.
Generalnie więc ta opcja już istnieje w trzech wariantach, po co jeszcze przycisk?
Najlepsze są te ogłoszenia, jak się mieszka na wsi i po geolokalizacji podstawia najbliższe wsie po kilkadziesiąt mieszkańców, ale lecą teksty typu “500 gorących dziewczyn czeka na Ciebie w Przydróżek” :P
A google mógłby dodać na górze takich powiadomień informację, że jeśli pochodzi od nieznanego nadawcy, to nie należy w nic klikać i dać przycisk do zgłaszania nadużyć.
Do Przydróżka mam niecałe 2h jazdy. Może na wszelki wypadek jednak sprawdzę to z dziewczynami…
A potem całe życie będziesz żałował, że się nie wybrałeś jednak do Przydróżka, tego jednego dnia…
Ale jak tak można nie uwierzyć, że 500 dziewczyn czeka na Ciebie w Pcimu Dolnym? Przecież mogły przylecieć samolotem. ;)
Nie wiem jak można nazywać zachęcającymi obrazki pokazane na screenach :D … a i jeszcze wpisywanie poufnych danych w celu wygrania czegoś – chwyty znane i wałkowane od 15 lat. Nic w tym ciekawego.
Myślę, że Matylda z mojego osiedla mogłaby się na was obrazić, przez was nikt w nią już nie wierzy:(
Moze komus sie nudzi i moglby zrobic skrypt, ktory zaspamowal by ich falszywymi numerami kart i danych osobowych? Moze przeszla by im ochota na takie zabawy jakby promil zebranych danych byl cokolwiek warty?
Ten atak używa również Google Calendar
Pani z obrazka miała chyba przeszczep głowy. Ach na nowoczesna medycyna.
Ja ostatnio dostałem coś podobnego – email proszący o potwierdzenie, że korzysta się konta w domenie Outlook, bo inaczej konto zostanie zablokowane. Oczywiście adres prowadził do Google Docs
Mi przyszło na adres email który podaję tylko w konkursach, typu Castorama, coca-cola, Almette itd… Chyba jakaś agencja reklamowa miała wyciek.
Możesz do każdego konkursu mieć konkretny e-mail i od razu będzie wiadomo skąd. Wystarczy użyć np. Adres+konkurs[@]Gmail.com
@Janusz no właśnie z tymi aliasami od Gmaila to lipa, bo większość skryptów sprawdzających pola e-mail z formularzy odrzuca znak plusa.
A niektóre strony nie uznają plusa bo mają zbyt ograniczoną walidację.
Może to Ty miałeś wyciek …
No ja właśnie od 2-3 tygodni dostaje informacje, że ktoś wspomniał o mnie w (tutaj nazwa pliku w google docs), ale to powiadomienie dostaje tylko na telefonie, na mailu żadnych informacji. Raz zerknąłem na ten plik i coś tam było napisane, a niżej spis ponad 50 mailów.
Plik od razu zgłosiłem, nie mogę teraz znaleźć gdzie na dysku google to widziałem, ale brakuje mi możliwości, aby takie wspominanie o mnie (moim adresie mail) w plikach było automatycznie zablokowane.
Warto wspomnieć, że takie “wspomnienie” wysyła też powiadomienie na telefon co może być nawet bardziej złudne. Od jakiegoś właśnie tygodnia dostaję meile i to powiadomienia wydają się groźniejsze, bo pokazują tylko “someone mentioned you….”. O ile email łatwo wyłapać bo dziwnych loginów używają tak powiadomienie jest o wiele mniej oczywiste.
U mnie o dziwo trafiło właśnie do spamu na gmailu. Za to dostałem powiadomienie na telefonie bodajże z Docs, ale przypadkowo usunąłem zanim zdążyłem przeczytać.
Drogi “Redakcja”, musze zapytac ;)
Ta dziewczyna po prawej obrazuje (doprecyzowanie/prezentacja) aktualnie zaznaczona opcje, czy to tylko statyczny obrazek? Chodzi mi glownie o poziom techniczny wykonania strony :p a dokladniej o to czy mamy tu do czynienia z technologicznym entuzjazta czy to tylko zwykla chaltura… xD
Scam ankietowy z lecącym konfetti…
Pytanie: czasami wchodzę na jakąś normalną stronę normalnej firmy i wyskakuje mi to coś. Czy to znaczy, że ktoś tą stronę “zainfekował” takim syfem, czy to mój komp coś złapał?
Ja dostałem to już w 2 razy. Co ciekawe sam mail ląduje w moim przypadku w spamie, ale dostaję też powiadomienie push na telefon z aplikacji Dysk Google o komentarzu.
A ja mam takie pytanko. Często dostaje rożnego rodzaju spam i pewnie w większości jest to phishing, ale nigdy tego nie otwieram. Przede wszystkim z obawy przed wirusami. Ale chciał bym czasem zobaczyć co tam jest ciekawego i jakie nowe techniki sa stosowane. Czy zwykły antywirus wystarczy do takich działań czy polecacie jakies inne rozwiązania? A może w ogóle raczej się nie zdarza żeby w takich stronach były wirusy.
Pierwszy opisany atak, z formularzem rejestracyjnym na stronie randkowej, to nie wyłudzenie danych, a zachęta do założenia konta – faktycznie istniejącej stronie, która daje klientom rozmowę z moderatorami (oni nie koniecznie o tym wiedzą, że to nie laska po drugiej stronie :)). Ot ktoś wziął sieci afiliacyjne i promuje się w ten…wątpliwy sposób :)
Serio, google ma cały potężny aparat inwigilacji i np. wie, że konto, z którego pochodzi prezentacja nie ma wcześniejszych kontaktów z kontem ofiary, wie, że kontakty obu kont się nie zazębiają. Na tej podstawie może łatwo zdecydować o wysokim prawdopodobieństwie oszustwa i nie wysyłać powiadomienia.
Co jak co, ale te Dojrzałe Flirt Kontakty to złoto – szczególnie losowe username’y i scrapowane Bóg jeden wie skąd zdjęcia profilowe, na przykład mój ukochany AnalnyBob ;^)
Skuteczność ataku podnosi usługa oficjalna usługa Google