23:03
22/10/2012

Kilku czytelników podesłało nam tę samą wiadomość, która — wszytko na to wskazuje — jest masowo rozsyłana na polskie skrzynki e-mail. Wiadomość informuje, że ktoś próbował przejąć nasze konto na Facebooku i zachęca do odwiedzenia strony odzyskajfacebook.tk celem odzyskania konta.

odzyskajfacebook.tk

Oto pełna treść wiadomości (pisownia oryginalna), której nadawca podszywa się pod adres noreply@facebook.com:

Drogi Użytkowniku!
Ktoś próbował przejąć Twoje konto w serwisie Facebook.
Aby temu zapobiec wygenerowaliśmy nowe hasło do Twojego konta.
Udaj się pod Adres http://www.odzyskajfacebook.tk/
Aby w pełni bezpiecznie odzyskać swoje konto
Postępuj zgodnie z instrukcjami zawartymi na stronie.
Z Poważaniem Facebook Group”

Na stronie odzyskajfacebook.tk, która — mamy nadzieję, że nikt nie ma tu wątpliwości — nie należy do Facebooka, znajduje się następujący komunikat:

odzyskajfacebook.tk

odzyskajfacebook.tk

…oraz zachęta do pobrania “generatora” hasła

Generator.scr – MD5: 1cadb40bb61186f2e85313c1e96572d7)

…który w rzeczywistości jest instalatorem złośliwego oprogramowania (wykrywanym przez 11/44 antywirusy):

Antivirus scan for 1cadb40bb61186f2e85313c1e96572d7

Antivirus scan for 1cadb40bb61186f2e85313c1e96572d7 via VirusTotal

Sposób przeprowadzenia tej kampanii e-mailowej infekującej złośliwym oprogramowaniem, jak i docelowa strona na którą zwabiana jest ofiara są łudząco podobny do opisywanych przez nas niedawno ataków “na Kaspersky’ego” i “na Allegro”. Pytanie, czy za atakami stoi Armaged0n, który ostatnio zapowiadał iż zamierza ulepszyć swoje ataki? Czy może jest to ktoś, kto Armaged0na naśladuje?

Przeczytaj także:

94 komentarzy

Dodaj komentarz
  1. Mam Linuxa. Dlaczego nie pomyśleli o generatorze dla mnie :(
    Pomocy!

    • AVE…

      A kto by się przejmował czymś, czego nawet jeden procent użyszkodników nie używa? ;)

      Swoją drogą to ciekawe, ilu frajerów złapią na fejs-zbuka. O użytkownikach tego portalu mam bardzo niskie mniemanie, więc pewnie wielu. Mam nadzieję…

    • Ciekawe byłoby zestawienie “konwersji” z FB, G+, NK, Fotki i Grona oraz jakiegoś forum Tibii ;)

    • A to Grono to jeszcze istnieje?

    • Podaj login i hasło to Ci wygeneruję ;)

    • AVE… Miałem konto na gronie, gdy jeszcze ludzie z niego korzystali, i trza było być zaproszonym. Nigdy nie używałem. I nie wiem, na diabła komu te wszystkie portale społecznościowe. Jak ktoś chce uprawiać ekshibicjonizm, to niech wkłada prochowiec i idzie się wachlować przed żeńskim akademikiem. Tak, jak to się robiło w starych, dobrych czasach…

    • @Urgon – w nie tak starych, dobrych czasach, gdy ktoś zakładał bloga, to mówiło się o nim, że uprawia ekshibicjonizm.

      Czy Niebezpiecznik, mający konto na FB, uprawia ekshibicjonizm?

      Serio, cierpisz na aż taki brak wyobraźni by wierzyć, że 100% użytkowników FB to ludzie od “słitfoci z rąsi”?

    • @bojer Grono oczywiście nie istnieje. Co więcej, nagle zniknęło z sieci nie dając czasu na pobranie swoich danych i np. przeniesienie kontaktów z Grona na Facebooka http://www.komputerswiat.pl/blogi/blog-redakcyjny/2012/07/grononet-zniknelo-z-sieci!-hosting-plikow-zamiast-spolecznosciowki.aspx. Teraz zajęli się hostingiem plików, ale trudno liczyć na zaufanie po nagłym zwinięciu poprzedniej działalności.

    • @Urgon Taa… z facebooka korzystają tylko ekshibicjoniści i ograniczeni umysłowo imbecyle.

    • Na szczęście mam windowsa :) hasło zmienione! :)

    • Paweł, twoje info o hostingu chyba już nieaktualne – firefox mówi że nie może odnaleźć serwera.

    • AVE…

      Dobra strona nie potrzebuje konta na fejs-zbuku, obroni się treścią. Mój brat(skądinąd inteligentny człek) zachorował na wirusa FB i spędza tam połowę swojego czasu. Pierwszą rzeczą, jaką zrobił po ślubie była zmiana statusu związku. Nie wiem, jak wy, ale ja bym pomyślał o weselu albo nocy poślubnej. Zwróćcie uwagę, jak wiele informacji udostępniacie na FB, nawet jak nie chcecie. To się dzieje odruchowo…

      Tak, nadal uważam, że każdy użytkownik FB to ekshibicjonista, a większość z nich to też idioci. Zasługują na wszystko, co ich spotyka. Łącznie z lamerskimi atakami zakompleksionych gimbusów…

    • Przykro mi, ale Facebook sells.

  2. 90% że Filip znów próbuje szczęścia w “hakierowaniu”, ciekawe, czy przebije te 70 “botów” co miał ostatnio ;)

  3. >pisanie randomalnych wyrazów wielką literą jak można być aż tak wielkim debilem

    • Pisanie “randomalnych”, jak można być aż tak wielkim debilem?

    • Pisanie słowa “internet” też jest nie w porządku?

    • @x: jeszcze “randomowy” jestem w stanie wytrzymać, no ale “randomalny”? Bez przesady.
      Poza tym nazwa “internet” (pomijając, że jest nazwą własną) jest uzusem, w porównaniu do “randomowy”, który nie jest.

  4. znów .tk i ktoś się do końca nie postarał .. mam pytanie a bazę maili to zdobywają kupując od właścicieli strony typu “Dla pierwszych 1000 osób bluza free”, zmierzam do tego że jeżeli ktoś rozumny nie klika bezmyślnie “Lubie to!” i akceptuje zasady , to jest mnie narażony na tego typu ataki czyż nie ?

  5. Nie ja

  6. Wygenerowałem hasło, ale nadal muszę logować się starym, wtf?

  7. Domena odzyskajfacebook.tk już została zlikwidowana. :)

  8. > Armaged0n To ten lamer, którego czytelnicy namierzyli w 30 sekund? :P

  9. jprdl…. dlaczego nikt się nie weźmie za tych pieprzonych gojków? nie ma sposobu, by wyplenić tego rodzaju sku.wysyństwo?? jak rozumiem, w jakiś sposób sie pewnie zabezpieczył…ale skoro tutaj jest trochę kumatych ludzi, nie możecie jakos uprzykrzyć życia tego typu gówniażerni? ps. przepraszam za “słówka” :P

    • Obawiam się że nie!

      Skoro ktoś popełnia przestępstwo, to nie znaczy że ja muszę je popełnić tez by się ‘zemścić’.

      Od tego są odpowiednie służby mundurowe – np CERT, i tam się składa ‘zażalenie’ ;)

      PS: Jak one działają, to już inna sprawa …

    • Raczej się nie da, ale jak wielkim debilem trzeba być żeby się na to nadziać? W ogóle mi ich nie żal.

  10. pewnie znowu ten gimbus (albo jego brat), jak człowiek obraża papieża to bagiety są lada moment a jak gimbaza robi syf w sieci to nikt nawet palcem nie kiwnie :(

  11. Oryginalna strona: http://passsw.web44.net/ Nikt nie mógł odwalić takiej amatorki, jedynie Armaged0n.

    • Banner z prt scr, co chwila słówka pisane z dużej litery, obrazek zaleziony w google images… To raczej on.

  12. Zrobiłem layout nowego sklepu tak, aby nieco przypominał facebooka. No i właśnie dostałem maila od szefa z linkiem do tego artu na niebezpieczniku, z zaleceniem: weź zmień te kolorki, bo ktoś pomyśli że wyłudzamy hasła do facebooka. Brawo niebezpiecznik za budowanie świadomości wśród szefów :D Niech Was szlag trafi, taki ładny miałem layoucik ;)

    • Zmień niebieski na czerwony albo zielony i git.

  13. Strona złamała mi serce … “http://www.direktorek03.wm-studio.pl/wp-content/uploads/2011/08/pobierz.png” i te statystyki: “” Mistrz!

  14. Dwa słowa na temat “pro-hakerów”, o których czasem można przeczytać na niebezpiecznik.pl. Większość z nas zgodzi się z faktem, że osoby o której tutaj można przeczytać na forum publicznym to w większości “niedouczeni” i zapatrzeni w siebie ludzie. Ich szkodliwość jest stosunkowo niska a i możliwości wytropienia są łatwe. Natomiast przy okazji warto wspomnieć o prawdziwych specjalistach, którzy jak przekraczają granice prawa (należy to i tak negować) to pozostają w cieniu przez długi okres w ukryciu, co gwarantuje, im że zrealizują swój plan. I przeważnie są to plany, które mają drugie dno, natomiast pokolenie „scripts kids”, cechuje się smutnym wnioskiem, zrobić coś żeby tylko było o nich głośno (niski nakład pracy, mało wyobraźni w tworzeniu planu) a co ważniejsze i co warto podkreślić brak myślenia perspektywicznego. Między innymi dlatego tak łatwo można dojść do autora tego wybryku. Na koniec może warto przytoczyć słowa znanych „kto nie ryzykuje, ten nie pije szampana”, takie wybryki, o których czytamy czasem na niebezpiecznik.pl uświadamiają jaki jest smutny świat takiego „gimbusa”, mało tego że nic nie umie (a przepraszam, skopiować gotowego trojana, napisać 2 zdania niepoprawną angielsko-amerykańską gramtyką za pomocą google translate, zrobić stronę za pomocą edytorów wysiwyg) poza tym jego świat kończy się na tym, bo przecież jeżeli jego celem jest „pokazać się” niskim kosztem to po co uczyć się podstaw…

    • Amen, albo raczej tak jest

    • @munio: “I przeważnie są to plany, które mają drugie dno”, a tym drugim dnem to mnie zafrapowales

    • Paradoks: “Być sławnym, i być nie znanym”

  15. Ja bardzo lubię takie. Najlepsze są albańskie/ukraińskie/tureckie “z” allegro :) Można by zrobić z nich niezłą galeryjkę.

  16. Ooo, takie też: http://imageshack.us/a/img577/8153/42935860.png

    • Miodzio :-) Powinni iść po bandzie i e-mail nadawcy podać jako hElpDezkZ@…..

  17. Ah, zablokowali, jak ja teraz biedny to konto odzyskam? Przecież bez tego mnie nie ma ;)

  18. Za późno przyczytałem wpis, strona jest usunięta.

    BTW. Robię testy oprogramowania i chciałem zainfekować system. Poszukuje jakiejś paczki z wirusami, ale wygląda na to, że takie strony sa usuwane z indeksu google. Zna ktoś jakieś źródło?

    • http://bit.ly/VyYJ3B :*

    • Ja bym napisał do jakiejś firmy zajmującej się rozwojem AV – pomogą.

  19. hehe wlasnie radiozet w wiadomosciach o 11 podalo ze sa wysylane falszywe maile .. niezly maja ogar skoro strona juz nie trybi ;)

  20. Zabawne jest to ze do mnie tez dotarl ten mail a ja nigdy nie zakladalem zadnego konta na FB.Mialem im odpisac “hahahahahahahhahaha” ale uznalem ze szkoda sobie zawracac tym glowe i poszla wiadomosc do spamu

  21. Anybody gotta mirror? ;)

    • gotta = got to, a nie “got a”

  22. Jak dla mnie to kolejny wyskok Armagedona. Tego amatorstwa nie można z niczym innym pomylić….

  23. Po pierwszym akapicie przypomniał mi się Armaged0n, doczytałem do końca i tam wzmianka o nim… Wcześniej wszyscy mówili “dziecko się chciało bawić i wpadnie”, jeśli to On to dalej jest bardzo pewny siebie, ale jeśli go ktoś naśladuje, to możemy się spodziewać zapewne całej masy takich ataków….

    • on*

  24. Może ktoś zrobić re-up binarki? Chcę się bliżej przyjrzeć i podać wyniki analizy. Jeśli to ten RAT o którym myślę, to szybko znajdzie sie twórca tego przedstawienia.

    • Na virustotal jest w komentarzu

  25. PANOWIE pytanie laika co to jest .

    Checking your browser before accessing http://www.kavkazcenter.com.

    Please turn JavaScript on and reload the page.

    DDoS protection by CloudFlare

    • “Sprawdzanie przeglądarki przed wejściem na …
      Włącz JavaScript i przeładuj stronę.
      Ochrona DDoS przez CloudFlare”

  26. Jak to dobrze, że nie ma FB. Nie posiadam także Windowsa, więc nie mam problemów z wirusami. Pozdrawiam wszystkich posiadaczy MS Windows i FB..

    • Posiadasz *nixa, tak? Wirusów może nie masz, za to możesz mieć problemy z np. rootkitami czy exploitami o których istnieniu możesz nie wiedzieć. To, że posiadasz jakiegoś *nixa nie robi z Ciebie automatycznie guru InfoSec i po Twoim laickim komentarzu wątpię, że potrafisz tak zabezpieczyć swój system, żeby nic syfnego się nie przedarło (czego uniknąć się i tak nie da, nawet będąc zajebiaszczym miszczem sekjurity).
      Posiadanie systemu innego niż Win nie gwarantuje czystości owego, kiedy to w końcu ludzie pojmą…?

  27. Mały błąd się wkradł… na fragm. screenu listy antywirusów rozpoznających wirusa przy NOD32 jest podane, że nie wykrywa wirusa, zaś na stronie z listą wszystkich antywirusów przy NOD32 już jest podana nazwa wirusa “Win32/Fynloski.AA”.

    • ajj… mój błąd, nie spojrzałem na na screenie jest o jeden update mniej niż na pełnej liście :)

  28. Czy mógłby ktoś udostępnić próbkę wirusa do analizy? Wrzucić na jakiś cyberlocker, zahasłowane. Wydaje mi się, że udostępnienie jej na Niebezpieczniku nie zwiększy liczby infekcji.

    • Odwiedź virustotal zakładka komentarze

    • Ok. Sprawa nieaktualna bo wyczytałem, że jest w komentarzach z virustotal.

  29. Czytam to i z przykrością stwierdzam że odnotowuję na forach wzrost aktywności takich “gimbusów” i co najgorsze nie dociera do nich że nie znają podstaw i żeby dali se spokój. A potem takie nieudolne próby zaimponowania kolegom. Choć kto wie czy im to nie imponuje.

  30. Witam serdecznie.


    skiter 2012.10.23 08:39 | # | Reply

    Strona złamała mi serce … “http://www.direktorek03.wm-studio.pl/wp-content/uploads/2011/08/pobierz.png” i te statystyki: “ ” Mistrz!

    Przycisk “pobierz” (niebieski ze strzałką) jest całkowicie mojego autorstwa – znów mi go ukradli ze strony. Nie mam nic wspólnego z wirusami, kradnięciem haseł i innymi tego typu tematami. :)
    Dlaczego “złamała serce?

    • Nie nie, nie mam nic do w/w strony gdzie podany link jest, chodziło mi tylko o to że autor ‘oryginału’ zwyczajnie podpierdzielił link do grafiki z w/w strony.

      Do tego żeby było wesoło zainstalował sobie statystyki host24 ;)

      Droga Doroto, polecam poczytać o blokowaniu hot-linka, jeżeli to nie pierwszy raz to może czas rozważyć taką opcje, zmniejsza się transfer i bezpieczeństwo plików.

      Pozdrawiam.

    • @Dorota: mnie z kolei zabolała strona spod Twojego nicka. Index (lub inaczej – strona startowa) jest swoistą wizytówką serwisu, nie jego podstrony. Zarówno z graficznego, jak i informatywnego punktu widzenia ten Twój index jest po prostu kiepski (nawet gdyby nie był częścią serwisu o webdesign). Jeśli jesteś autorką to polecam jak najszybciej zmienić. Ponadto, w przykładach realizacji, po kliknięciu miniatur otwierają się te same miniatury tylko w lightboxie (w dodatku źle skonstruowanym, bo czasami kliknięcie przycisku “close” otwiera kolejną miniaturę). Nie widzisz w tym nic złego?

      Nie zrozum nie źle, nie próbuję Cię obrazić. Była to konstruktywna krytyka (moim zdaniem) od kolegi webdesignera…

  31. Daję ręke uciąć że stoi za tym nasz gwiazdor, pro hakier Filip Tujaka.

  32. “Mistiqe 2012.10.24 10:11 | # |
    @Dorota: mnie z kolei zabolała strona spod Twojego nicka. ….”

    Dziękuję za uwagi. Ta moja strona mimo oczywistych błędów daje radę. Brak czasu nie pozwala na porządki obejmujące optymalizację, zmianę wyglądu i przeniesienie części treści do innych serwisów.

  33. Witać!
    Twoja konta byc atak!
    My zabezpieczyć!
    Twoja odzyskać konto żeby w komentarzu da paswword, nazwa i karta kredytowa.
    Pozdrawiać,
    facebook

    Kolejna bzdura.

  34. Nabiera się ktoś jeszcze na cokolwiek z domeną .tk ? :/

  35. Pewnie to znowu Filip T.

  36. “flejmo-trolololo” :D leżę i kwieczę :D widząć popularnośćaplikacji fejsowych typu polub a zobaczysz wiecej, sam nabieram ochoty na stworzenie malego co nie co ;]

    • BTW dziwne ze sie jeszcze za to nie zabralem, toz to źródło ogromne, flejmo-trolololo rooox :]

  37. W jakim świecie Wy żyjecie – klikając OBCE odnośniki :-) do końca świata trzeba ludziom tłumaczyć co robić a co nie…

  38. Nie podniecaj sie za bardzo, bo nie ma czym. Piszesz cokolwiek, żeby tylko napisac, nieważne czy ma to sens i czy jest zwiazane z tematem. Chcesz pokazać, że znasz sie na ludziach i ich poziomie, a dałes własnie świadectwo swojego poziomu. Brakuje ci argumentow do rzeczowej dyskusji, więc zaczynasz wjazdy personalne. Typowe.

  39. Nie podniecaj sie za bardzo, bo nie ma czym. Nie wiem kim jesteś, ale jak poczytałem twoje wypowiedzi, to stwierdzam ze piszesz cokolwiek, żeby tylko napisac, nieważne czy ma to sens i czy jest zwiazane z tematem. Chcesz pokazać, że znasz sie na ludziach i ich poziomie, a dałes własnie świadectwo swojego poziomu. Brakuje ci argumentow do rzeczowej dyskusji, więc zaczynasz wjazdy personalne. Typowe.

  40. Dziękuję za odpowiedź na prowokację. Tak tylko chciałem sprawdzić czy jesteś trolem _|_

    • Zupełnie jak chorągiewka na wietrze, tak samo zmieniasz stanowisko. Teraz już twierdzisz, że wszystko co mówisz to prowokacja. Nie ma co zawracać sobie tobą głowy.

  41. Dzisiaj dostałem takiego oto maila: http://images40.fotosik.pl/1852/6c86612066350ad4.jpg Pierwsze słyszę by trzeba było odwoływać reset hasła. Pomijam już brak słowa “days” przed “ago” w mailu. Wszystkie linki z maila prowadzą do strony http://meaportal.com/feed/inc/rss/reset/

  42. A ja dziś dostałam maila

    xcxc Drogi Użytkowniku!

    Ta wiadomość została wysłana do Ciebie automatycznie.
    Doszło do włamania na Twoje konto w serisie Facebook
    Aby powstrzymać atak tymczasowo zablokowaliśmy Twoje konto.
    Swoje konto możesz bezpiecznie odzyskać jedynie pod wygenerowanym przez nas Adresem.
    Aby w pełni bezpiecznie odzyskać swoje konto udaj się na stronę http://pass-facebook.tk/
    Następnie poczekaj na wygenerowanie nowego hasła.
    Andrzej Michnik, Sekcja Intendentury Monitoringu,
    Dział Bezpieczeństwa i Administracji Serwisowej Facebook.pl

  43. Przepraszam, że się czepiam, ale wykrywa już 39 antywirusów. Niczego nie znaleźli: Antiy-AVL, ByteHero, ClamAV, MicroWorld-eScan, Rising, SUPERAntiSpyware i ViRobot. Szczęście, że mało znane :-). BTW: Armaged0n, na twoje .tk na pewno się nie nabiorę :P.

  44. właśnnie przyszło do mnie cuś takiego
    “Witaj
    Doszło do włamania na Twoje konto w serisie Facebook
    Aby powstrzymać atak tymczasowo zablokowaliśmy Twoje konto.
    Swoje konto możesz bezpiecznie odzyskać jedynie pod wygenerowanym przez nas Adresem.
    Aby w pełni bezpiecznie odzyskać swoje konto udaj się na stronę http://blokada-facebook.url.pl/
    Następnie poczekaj na wygenerowanie nowego hasła.
    Daniel Nowak, Sekcja Intendentury Monitoringu,
    Dział Bezpieczeństwa i Administracji Serwisowej Facebook.pl”

    ubawiło mnie to – nie mam konta na facebooku

Odpowiadasz na komentarz Paweł

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: