Fake news i kradzież hasła do Facebooka
Sensacyjne wiadomości, które mają przekonać ofiarę do podania hasła do Facebooka to klasyczny motyw sieciowych wyłudzeń. W naszej praktyce spotykamy się z nim od lat, więc gdy dziś trafił do nas kolejny przypadek, doszliśmy do wniosku, że warto odświeżyć Wam wiedzę, jak wyglądają takie ataki.
Zaczynają się zazwyczaj… na Facebooku. To – jak pisaliśmy wczoraj (i nie tylko) – zdecydowanie najpopularniejszy wektor phishingów. Nic dziwnego, skoro na początku roku według firmy Meta z największego serwisu społecznościowego korzystało regularnie 17 mln Polaków!
Domena podobna do prawdziwej, szata graficzna też
Tak jednak, jak w przypadku rzekomych darmowych biletów łatwo można było poznać po domenie, że coś jest nie tak, to w opisywanej sytuacji jest trudniej (dla potencjalnej ofiary). Oszuści bowiem zarejestrowali (dwa dni wcześniej) domenę wpwiadomosci[.]pl. Co więcej – do Wirtualnej Polski upodobnili również szatę graficzną strony.
Wygląda naprawdę nieźle i jedyne, do czego można się przyczepić, to „Wiadomośći” (ć zamiast c). Jeszcze kilka lat temu powiedzielibyśmy, że stylistyka „newsa” pozostawia wiele do życzenia, jednak teraz na tego typu informacje trafiamy w mediach dość regularnie.
Po przewinięciu strony znajdziemy fragment, udający film, a także część przypominającą sekcję komentarzy. Jest na tyle interaktywna, że nawet możemy wpisać własny.
Pora na kradzież hasła do Facebooka
Ostatni etap tego klasycznego modus operandi to przekonanie ofiary do wpisania hasła do Facebooka. Mamy socjotechniczną sztuczkę: ranne dziecko, sprawca po alkoholu, zdjęcie zaintubowanego dziecka. Skoro już przekonaliśmy internautę do wejścia na stronę, uwierzył, że to prawdziwa Wirtualna Polska, wzbudziliśmy emocje, to teraz zapewne kliknie, by obejrzeć film!
Strona zostaje ta sama, domena też, a na naszym ekranie pokazuje się wyskakujące okno. Jeśli wpiszemy w nim login i hasło – trafią bezpośrednio do atakującego. Co powinno wzbudzić naszą uwagę/niepokój?
- fakt, iż mamy do czynienia z wyskakującym oknem (logowanie do Facebooka tak nie wygląda)
- w pasku przeglądarki pozostaje fałszywy adres WP
- oszuści od zawsze używają czcionek szeryfowych, podczas, gdy na Facebooku spotkamy wyłącznie bezszeryfowe
Choć ostatni punkt wydaje się mało istotny, paradoksalnie jest bardzo widoczny. Ciekawe, czy oszuści kiedyś to zmienią?
Nie dajcie się oszukać. Fakt, iż ten przekręt funkcjonuje od wielu lat dowodzi, iż ciągle łapie się na niego wystarczająco wielu internautów, by opłacało się robić kolejne kampanie.