Oszustwa wykorzystuj膮ce portale spo艂eczno艣ciowe

Kt贸re zasoby sieciowe najcz臋艣ciej przyci膮gaj膮 cyberprzest臋pc贸w? Te, za po艣rednictwem kt贸rych mog膮 dotrze膰 do najwi臋kszej liczby u偶ytkownik贸w i uzyska膰 mo偶liwie najwi臋ksze zyski. Dzisiaj praktycznie wszyscy u偶ytkownicy internetu posiadaj膮 konto na portalu spo艂eczno艣ciowym (cz臋sto nawet kilka kont na r贸偶nych portalach), dlatego strony te ciesz膮 si臋 szczeg贸ln膮 popularno艣ci膮 w艣r贸d cyberprzest臋pc贸w. Najatrakcyjniejszym portalem spo艂eczno艣ciowym jest Facebook: wed艂ug statystyk firmy Kaspersky Lab, fa艂szywe strony imituj膮ce Facebooka odpowiada艂y za niemal 22% wszystkich przypadk贸w, w kt贸rych uruchomiony zosta艂 komponent heurystycznej ochrony przed phishingiem.   

Przydatne konto

Przechwycenie kont na portalu spo艂eczno艣ciowym pozornie nie powinno by膰 czym艣, na co skusz膮 si臋 cyberprzest臋pcy, poniewa偶 dzia艂anie to nie przynosi natychmiastowych zysk贸w - w ko艅cu nie przechowujemy naszych oszcz臋dno艣ci na Facebooku, a informacje osobiste podawane na takich portalach mog膮 zainteresowa膰 tylko naszych przyjaci贸艂 i najbli偶szych. Jednak taki pogl膮d mo偶e by膰 myl膮cy. W rzeczywisto艣ci istnieje kilka powod贸w, dla kt贸rych cyberprzest臋pcy mog膮 chcie膰 uzyska膰 nielegalny dost臋p do kont na Facebooku lub innym portalu spo艂eczno艣ciowym:  

  • Aby rozprzestrzenia膰 odsy艂acze do stron phishingowych. Dla cel贸w phishingowych skuteczniej jest wykorzystywa膰 przechwycone, istniej膮ce ju偶 konta ni偶 tworzy膰 konta ad hoc przy u偶yciu bot贸w. Jest bardziej prawdopodobne, 偶e u偶ytkownik kliknie odsy艂acz prowadz膮cy do fa艂szywej strony banku, je艣li zosta艂 wys艂any przez jego znajomego z portalu spo艂eczno艣ciowego a nie przez obc膮 osob臋.   
  • Do rozprzestrzeniania szkodliwego oprogramowania. Podobnie jak w przypadku odsy艂aczy do stron phishingowych, u偶ytkownicy portali spo艂eczno艣ciowych pr臋dzej pobior膮 i otworz膮 pliki od swoich znajomych z Facebooka.
  • Aby wysy艂a膰 niechciane wiadomo艣ci do os贸b z listy kontakt贸w swojej ofiary oraz publikowa膰 spam na tablicy swoich znajomych, gdzie mog膮 go zobaczy膰 inni.   
  • Aby przeprowadza膰 oszustwa, takie jak wy艂udzanie pieni臋dzy z przechwyconych kont znajomych. Oszust mo偶e wysy艂a膰 wiadomo艣ci, prosz膮c o przekazanie pieni臋dzy w zamian za pomoc. 
  • W celu gromadzenia informacji o okre艣lonych osobach. Takie informacje mog膮 zosta膰 wykorzystane p贸藕niej do przeprowadzenia atak贸w ukierunkowanych, takich jak phishing ukierunkowany.
  • Aby sprzedawa膰 "porwane" konta. Cyberprzest臋pcy sprzedaj膮 porwane konta innym cyberprzest臋pcom, kt贸rzy z kolei wykorzystuj膮 je do rozprzestrzeniania spamu, odsy艂aczy do stron phishingowych lub szkodliwego oprogramowania. 

Porywacze najcz臋艣ciej wykorzystuj膮 ostatni膮 opcj臋 z tej listy, zarabiaj膮c pieni膮dze na sprzeda偶y skradzionych danych.

Dane statystyczne

Wed艂ug danych z 2013 r. pochodz膮cych z sieci Kaspersky Security Network, strony phishingowe imituj膮ce portale spo艂eczno艣ciowe odpowiada艂y za ponad 35% przypadk贸w, w kt贸rych zosta艂 uruchomiony heurystyczny komponent antyphishingowy. 艁膮cznie, odnotowali艣my ponad 600 milion贸w pr贸b uzyskania dost臋pu przez naszych u偶ytkownik贸w do stron phishingowych. Strony imituj膮ce Facebooka stanowi艂y 22% wszystkich incydent贸w phishingowych.    

Heurystyczny komponent systemu antyphishingowego jest uruchamiany w momencie, gdy u偶ytkownik klika odsy艂acz prowadz膮cy do strony phishingowej, kt贸ra nie znajduje si臋 jeszcze w bazach danych firmy Kaspersky Lab. Nie ma znaczenia, w jaki spos贸b zosta艂 otworzony taki odsy艂acz: u偶ytkownik m贸g艂 klikn膮膰 odsy艂acz zawarty w wiadomo艣ci phishingowej, w wiadomo艣ci przesy艂anej za po艣rednictwem portalu spo艂eczno艣ciowego lub mog艂o to nast膮pi膰 na skutek aktywno艣ci szkodliwego oprogramowania. Gdy komponent heurystyczny zostanie uruchomiony, u偶ytkownik zobaczy komunikat ostrzegaj膮cy przed potencjalnym zagro偶eniem. 

facebookphishing1_en_sm.png

W 2013 r. fa艂szywe strony Facebooka stanowi艂y 21,89% wszystkich przypadk贸w, gdy zosta艂 uruchomiony heurystyczny komponent ochrony antyphishingowej

Na pocz膮tku 2014 r. sytuacja uleg艂a nieznacznej zmianie: Yahoo obj膮艂 prowadzenie pod wzgl臋dem liczby incydent贸w wykrytych przez heurystyczn膮 ochron臋 przed phishingiem. Mimo to g艂贸wnym celem phisher贸w nadal jest Facebook: w pierwszym kwartale 2014 r. fa艂szywe strony Facebooka stanowi艂y 10,85% wszystkich przypadk贸w uruchomienia heurystycznego komponentu ochrony przed phishingiem.

Ka偶dego dnia produkty firmy Kaspersky Lab rejestruj膮 ponad 20 000 pr贸b klikni臋cia przez u偶ytkownik贸w odsy艂aczy prowadz膮cych do fa艂szywych stron Facebooka.

facebookphishing2.jpg
Dzienna liczba przypadk贸w uruchomienia heurystycznego komponentu systemu antyphishingowego przez fa艂szyw膮 stron臋 Facebooka 

Wi臋kszo艣膰 incydent贸w ma miejsce w Stanach Zjednoczonych (od 1 500 do 7 500 dziennie), Kanadzie (od 1 000 do 2 500) oraz Niemczech (2 000 do 4 500). W Rosji liczba ta nie przekracza 1 000 dziennie.

W 2013 r. 22% u偶ytkownik贸w w Indiach pr贸bowa艂o klikn膮膰 odsy艂acz prowadz膮cy do fa艂szywej strony Facebooka, we Francji odsetek ten wynosi艂 14,56%, w Stanach Zjednoczonych - 10,93%, natomiast w Rosji - 1,5%.     

facebookphishing3.jpg
Odsetek u偶ytkownik贸w, kt贸rzy pr贸bowali uzyska膰 dost臋p do fa艂szywej strony Facebooka w 2013 r. (w stosunku do 艂膮cznej liczby u偶ytkownik贸w produkt贸w firmy Kaspersky Lab w danym pa艅stwie)

Przyn臋ta

W jaki spos贸b u偶ytkownicy trafiaj膮 na fa艂szywe strony internetowe? Cyberprzest臋pcy wymy艣lili wiele sposob贸w wabienia swoich ofiar na strony phishingowe. Zwykle wysy艂aj膮 odsy艂acze do stron phishingowych przy u偶yciu jednej z poni偶szych metod:     

  • Listy imituj膮ce powiadomienia z portalu spo艂eczno艣ciowego. Wiadomo艣ci te s膮 wysy艂ane ze specjalnych kont e-mail. 
  • Listy wysy艂ane ze skradzionych kont e-mail na powi膮zane z nimi listy adres贸w. Mo偶e to by膰 wiadomo艣膰 wys艂ana do znajomych, zach臋caj膮ca do klikni臋cia odsy艂acza, aby obejrze膰 co艣 ciekawego.
  • Wiadomo艣ci na portalach spo艂eczno艣ciowych wysy艂ane z porwanych lub fa艂szywych kont utworzonych ad hoc.
  • Wiadomo艣ci wysy艂ane na forach.
  • Wyniki wy艣wietlane przez wyszukiwarki.
  • Banery przedstawiaj膮ce atrakcyjne zdj臋cia lub podszywaj膮ce si臋 pod powiadomienie z portalu spo艂eczno艣ciowego i umieszczane przez cyberprzest臋pc贸w w zasobach os贸b trzecich.

U偶ytkownicy mog膮 r贸wnie偶 znale藕膰 si臋 na stronach phishingowych, je艣li ich komputer lub ruter zosta艂 zainfekowany szkodliwym oprogramowaniem, kt贸re potrafi np. modyfikowa膰 lub zast臋powa膰 plik "hosts", fa艂szowa膰 DNS lub podmienia膰 zawarto艣膰. Tego rodzaju szkodliwe oprogramowanie jest szczeg贸lnie niebezpieczne, poniewa偶 przekierowuje u偶ytkownik贸w na strony phishingowe, w momencie gdy klikn膮 legalne odsy艂acze prowadz膮ce do organizacji, kt贸rych strony sta艂y si臋 celem atak贸w phishingowych.        

Dlatego te偶 u偶ytkownicy, za ka偶dym razem, gdy otwieraj膮 stron臋 internetow膮, powinni zwraca膰 uwag臋, czy jest dost臋pne bezpieczne po艂膮czenie. Facebook wykorzystuje protok贸艂 HTTPS w celu transmisji danych. Brak bezpiecznego po艂膮czenia, nawet je艣li adres URL jest poprawny,  oznacza prawdopodobnie, 偶e u偶ytkownik znajduje si臋 na fa艂szywej stronie. 

Z drugiej strony, poprawny adres URL i dost臋pno艣膰 bezpiecznego po艂膮czenia nie zawsze stanowi膮 gwarancj臋, 偶e u偶ytkownik nie trafi艂 na fa艂szyw膮 stron臋. W razie w膮tpliwo艣ci, nale偶y  sprawdzi膰, czy certyfikat nale偶y do Facebooka. Ponadto, zawsze powinno si臋 zwraca膰 uwag臋 na wszystkie komunikaty pochodz膮ce z zainstalowanego na komputerze oprogramowania bezpiecze艅stwa.

Wiadomo艣ci e-mail

Wysy艂anie wiadomo艣ci e-mail to popularna metoda, przy pomocy kt贸rej cyberprzest臋pcy dostarczaj膮 odsy艂acze do stron phishingowych. Wiadomo艣ci te cz臋sto nie s膮 spersonalizowane, tj. nie s膮 bezpo艣rednio kierowane do konkretnych os贸b i zwykle imituj膮 powiadomienie z Facebooka informuj膮ce o otrzymaniu wiadomo艣ci prywatnej lub o zarejestrowaniu si臋 znajomych na tym portalu. Je艣li u偶ytkownik kliknie taki odsy艂acz, znajdzie si臋 na stronie phishingowej, na kt贸rej b臋dzie nak艂aniany do podania swoich danych uwierzytelniaj膮cych. Dane te zostan膮 natychmiast wys艂ane cyberprzest臋pcom, a u偶ytkownicy przekierowani do rzeczywistej strony logowania Facebooka.       

Cyberprzest臋pcy cz臋sto uciekaj膮 si臋 do zastraszania, wysy艂aj膮c fa艂szywe wiadomo艣ci, w kt贸rych gro偶膮 zablokowaniem kont u偶ytkownik贸w. Aby do tego nie dopu艣ci膰, u偶ytkownicy maj膮 klikn膮膰 podany w wiadomo艣ci odsy艂acz i poda膰 na stronie swoje dane uwierzytelniaj膮ce logowanie. Podej艣cie to opiera si臋 na zaskoczeniu u偶ytkownika, przez co post臋puje nieostro偶nie.     

Poni偶ej znajduje si臋 przyk艂ad fa艂szywej wiadomo艣ci z Facebooka informuj膮cej u偶ytkownika o ostatnich wydarzeniach, jakie m贸g艂 przeoczy膰. Po najechaniu kursorem na odsy艂acz pojawiaj膮ce si臋 okienko wyskakuj膮ce sugeruje, 偶e odsy艂acz prowadzi do nieznanego adresu, kt贸ry r贸偶ni si臋 od oficjalnego adresu Facebooka. Co ciekawe, cyberprzest臋pcy zwracaj膮 si臋 do u偶ytkownika, wykorzystuj膮c cz臋艣膰 adresu e-mail odbiorcy.   

facebookphishing4.jpg

Poni偶ej kolejny przyk艂ad fa艂szywej wiadomo艣ci - tym razem w j臋zyku portugalskim. Odbiorca zostaje ostrze偶ony, 偶e jego konto mo偶e zosta膰 wkr贸tce zablokowane. Aby do tego nie dopu艣ci膰, u偶ytkownik ma klikn膮膰 odsy艂acz, kt贸ry rzekomo prowadzi do Facebooka, i poda膰 swoje dane uwierzytelniaj膮ce. Jednak po najechaniu kursorem na odsy艂acz okazuje si臋, 偶e w rzeczywisto艣ci nie prowadzi on do Facebooka, ale do zupe艂nie niepowi膮zanej z nim strony.   

facebookphishing5.jpg

Portale spo艂eczno艣ciowe

Wiadomo艣ci phishingowe cz臋sto s膮 wysy艂ane za po艣rednictwem portalu spo艂eczno艣ciowego ze skradzionych kont zarejestrowanych przez znajomych potencjalnej ofiary. Zwykle imituj膮 one kr贸tkie prywatne wiadomo艣ci i zawieraj膮 pytanie typu: "Czy osoba na tym zdj臋ciu to ty?" oraz odsy艂acz do wspomnianego "zdj臋cia". Jednak po klikni臋ciu odsy艂acza u偶ytkownik zostaje przekierowany na fa艂szyw膮 stron臋 logowania Facebooka, kt贸ra zawiera standardowy komunikat "Aby kontynuowa膰, zaloguj si臋". Je偶eli u偶ytkownicy nie nabior膮 podejrze艅 i podadz膮 swoje dane uwierzytelniaj膮ce, zostan膮 one natychmiast wys艂ane cyberprzest臋pcom.     

Na ca艂ym 艣wiecie

Ze wzgl臋du na popularno艣膰 Facebooka na ca艂ym 艣wiecie cyberprzest臋pcy tworz膮 fa艂szywe strony internetowe w r贸偶nych j臋zykach: angielskim, francuskim, niemieckim, portugalskim, w艂oskim, tureckim, arabskim i innych. 

Poni偶ej przedstawiamy kilka przyk艂ad贸w fa艂szywych stron Facebooka. Prosimy zwr贸ci膰 uwag臋 na pasek adresu: w adresie URL strony phishingowej cyberprzest臋pcy cz臋sto u偶ywaj膮 s艂贸w brzmi膮cych jak "Facebook", pr贸buj膮c w ten spos贸b zdezorientowa膰 niedo艣wiadczonych u偶ytkownik贸w internetu. Czasami adres URL nie ma nic wsp贸lnego z adresem Facebooka, chocia偶 wygl膮d strony przypomina wygl膮d rzeczywistych stron Facebooka. Warto r贸wnie偶 zauwa偶y膰 brak bezpiecznego po艂膮czenia na tych stronach, co wyra藕nie wskazuje na to, 偶e jest to strona phishingowa.    

facebookphishing6_sm.jpg
Przyk艂ady stron phishingowych imituj膮cych strony logowania si臋 Facebooka

facebookphishing7_sm.jpg
Przyk艂ady stron phishingowych imituj膮cych g艂贸wn膮 stron臋 logowania si臋 Facebooka, zawieraj膮ce formularz rejestracyjny wymagaj膮cy podania danych osobowych

Jak wida膰 na zaprezentowanych przyk艂adach, strony phishingowe imituj膮 stron臋 Facebooka s艂u偶膮c膮 do rejestracji lub logowania si臋. Naturalnie, celem cyberprzest臋pc贸w jest gromadzenie danych osobowych umo偶liwiaj膮cych dost臋p do kont w celu wykonywania dalszych szkodliwych dzia艂a艅.  

Phishing mobilny

W艂a艣ciciele smartfon贸w lub tablet贸w, kt贸rzy odwiedzaj膮 portale spo艂eczno艣ciowe ze swoich urz膮dze艅 mobilnych, r贸wnie偶 s膮 zagro偶eni utrat膮 swoich osobistych danych. Cyberprzest臋pcy tworz膮 wyspecjalizowane strony dla przegl膮darek mobilnych, kt贸re imituj膮 procedur臋 logowania si臋 na Facebooku.    

facebookphishing8.jpg
Przyk艂ady stron phishingowych imituj膮cych Facebooka dla przegl膮darek mobilnych

Niekt贸re przegl膮darki mobilne ukrywaj膮 pasek adresu podczas otwierania strony, co wykorzystuj膮 cyberprzest臋pcy. Utrudnia to u偶ytkownikowi zidentyfikowanie oszustwa. 

facebookphishing9.jpg
Strona phishingowa z ukrytym paskiem adresu

Szkodliwe programy, kt贸re kradn膮 dane osobiste u偶ytkownik贸w, mog膮 r贸wnie偶 by膰 aktywne na urz膮dzeniach mobilnych. Skradzione informacje obejmuj膮 r贸wnie偶 dane uwierzytelniaj膮ce konta na portalach spo艂eczno艣ciowych. Opr贸cz wszechstronnego oprogramowania spyware istniej膮 wyspecjalizowane mobilne programy szpieguj膮ce, kt贸rych celem s膮 portale spo艂eczno艣ciowe. Na przyk艂ad, trojan mobilny mo偶e podszy膰 si臋 pod oficjaln膮 aplikacj臋 dla Facebooka w momencie uruchomienia jej przez u偶ytkownika, tak aby otworzy艂a si臋 aplikacja phishingowa. Ponadto istnieje ryzyko, 偶e u偶ytkownik pobierze aplikacj臋 phishingow膮 imituj膮c膮 oficjaln膮 aplikacj臋 mobiln膮 dla Facebooka.       

Zako艅czenie

Gdy cyberprzest臋pcy szpieguj膮 konta na portalach spo艂eczno艣ciowych, g艂贸wn膮 broni膮, jak膮 maj膮 do dyspozycji, jest brak ostro偶no艣ci i czujno艣ci w艂a艣cicieli kont. Poni偶ej przedstawiamy zalecenia dla posiadaczy takich kont:   

  • Je艣li otrzymasz powiadomienie e-mail z Facebooka lub wiadomo艣膰, z kt贸rej wynika, 偶e twoje konto mo偶e zosta膰 zablokowane, lub jak膮kolwiek wiadomo艣膰, kt贸ra nak艂ania ci臋 do podania danych uwierzytelniaj膮cych po klikni臋ciu za艂膮cznika lub za po艣rednictwem za艂膮czonego formularza, 
    • por贸wnaj adres nadawcy z adresem, z kt贸rego otrzymujesz zwykle powiadomienia. Je偶eli adres ten r贸偶ni si臋 od wcze艣niejszego, istnieje ryzyko, 偶e masz do czynienia z phishingiem. Jednak nawet je艣li adres wygl膮da na w艂a艣ciwy, cyberprzest臋pcy mogli zamaskowa膰 prawdziwy adres nadawcy. 
    • w 偶adnym razie nie podawaj swoich danych uwierzytelniaj膮cych w za艂膮czonych formularzach. Facebook nigdy nie prosi u偶ytkownik贸w o podanie swoich hase艂 w e-mailu lub wys艂anie has艂a za po艣rednictwem wiadomo艣ci e-mail. 
    • najed藕 kursorem na odsy艂acz i sprawd藕, czy prowadzi do oficjalnej strony Facebooka. Powiniene艣 r贸wnie偶 wpisa膰 r臋cznie adres Facebooka w pasku adresu - cyberprzest臋pcy potrafi膮 ukry膰 adresy stron, do kt贸rych prowadz膮 u偶ytkownik贸w. 
  • Je艣li zostaniesz przekierowany na stron臋 internetow膮 (po klikni臋ciu banera lub odsy艂acza zawartego w wiadomo艣ci e-mail itd.), upewnij si臋, 偶e adres URL w pasku adresu jest rzeczywi艣cie taki, jaki powinien by膰.  
  • Je艣li r臋cznie wpisa艂e艣 adres URL w pasek adresu, sprawd藕 go ponownie po za艂adowaniu si臋 strony, aby upewni膰 si臋, 偶e nie zosta艂 sfa艂szowany. 
  • Zawsze sprawdzaj, czy jest dost臋pne bezpieczne po艂膮czenie. Je艣li nie, istnieje ryzyko, 偶e odwiedzasz fa艂szyw膮 stron臋, nawet je艣li adres URL jest poprawny.

Je艣li zaczniesz otrzymywa膰 od znajomych podejrzane e-maile oraz/lub powiadomienia, spr贸buj skontaktowa膰 si臋 z nimi: ich konto e-mail lub na portalu spo艂eczno艣ciowym mog艂o zosta膰 zhakowane lub porwane. W takim przypadku twoi znajomi b臋d膮 musieli natychmiast zmieni膰 has艂o.  

殴ród艂o:
Kaspersky Lab