Nowy motyw kradzieży haseł „na fake news”
Fake news z sensacyjnie brzmiącymi wydarzeniami w tle to jeden z najpopularniejszych sposobów na kradzież poświadczeń logowania łaknących sensacji ofiar. Do tej pory kojarzył się nam wyłącznie z atakiem na „kredki” z Facebooka. Tymczasem to się właśnie zmieniło.
Andrzej Grabowski, Tomasz Karolak, Lech Wałęsa, zdarzył się nawet bodaj Krzysztof Piątek (bądź któryś inny piłkarz reprezentacji Polski). Co łączy tych ludzi? Dwóch pierwszych aktorstwo (różnica w jakości prezentowania tegoż to temat na inny serwis), ale wszystkich fakt, że kiedyś nie żyli. „Uśmiercili” ich przestępcy, którzy chcieli przekonać internautów do wpisania swoich danych logowania do Facebooka, by „potwierdzili swój wiek”, by zobaczyć film z rzekomego wypadku.
Fake news (nie) z RMF
Niestety fakt regularnego publikowania kolejnych kampanii dowodził, że temat pada na podatny grunt. Okazuje się, że podatny na tyle, by przestępcy rozszerzyli sferę zainteresowań.
Tym razem, podszywając się pod serwis newsowy radia RMF FM, oszuści publikują wiadomość o dramatycznym wypadku samochodowych. którego ofiarą miała paść nastolatka. Próba kliknięcia w treść fake newsa wywołuje wyskakujące okno z monitem z koniecznością potwierdzenia, czy konto należy do nas? Co ciekawe, serwis RMF nie wymaga logowania, a sam fakt pojawienia się monitu nie wynika z kontekstu aktywności na stronie.
Przestępcy tym razem nie zamykają się w jednym źródle – treść pop-upu sugeruje, iż wymagane jest wpisanie poświadczeń logowania do serwisu dowolnego dostawcy usługi pocztowej.
A oszust już czeka przy Telegramie
Co dzieje się po wpisaniu danych logowania? Zerknijmy na skrypt, zamieszczony w nagłówku strony, jeszcze przed tagiem <body>:
Wpisane login i hasło trafiają do Telegramowego bota, a następnie prawdopodobnie następuje próba zalogowania przy ich użyciu do odpowiedniego serwisu.
Kto jest autorem opisywanej kampanii? Wiele wskazuje na to, że mamy do czynienia z aktywnością rodaków. Wskazują na to choćby pola opisowe w innych elementach strony w języku polskim. Wygląda na to, że ktoś szczegółowo opisał swój skrypt (czyżby zamierzał go monetyzować?), dbając o jego estetykę. A może opisywany oszust kupił gotowy „produkt” autorstwa kolegi po fachu?
A co Ty możesz zrobić?
- Nie łap się na chwytliwe tytuły
- Nie loguj się, gdy nie widzisz adresu strony
- Jeśli chcesz wpisać login i hasło w wyskakujące okno logowania, upewnij się po stokroć, czy to na pewno dobre miejsce (tak, zdarzają się takie sytuacje…)
W sumie to nie taki nowy motyw. Ten z RMF i wyłudzeniem danych poczty jest aktywny już od ponad miesiąca 🙂