Zalew fałszywych newsów
Niecały miesiąc temu napomknęliśmy pierwszy raz (albo pierwszy od dawna) o sporej liczbie witryn, które pod pozorem sensacyjnych newsów usiłowały sprowokować ofiary do zalogowania się na fałszywej stronie Facebooka. W ostatnich dniach wpadły do nas kolejne dziesiątki domen, których celu autor tego pomysłu nie próbuje nawet ukrywać.
Po wejściu na główną stronę praktycznie każdej z domen, które do nas trafiły, widzimy ogólnodostępny główny katalog, z serią kolejnych podstron, które mają się pokazywać ofiarom, ogólna liczba przygotowanych stron sięga kilkuset, każda ma przypominać znaną witrynę jednego z popularnych mediów elektronicznych. Schemat nie uległ zmianie – po kliknięciu i zainteresowaniu się (dziwne, że są tacy internauci…) materiałem chcemy się podzielić, a jako, że logując się do Facebooka nie patrzymy na pasek adresu, nasz login i hasło trafiają do przestępców. Ci w kolejnych krokach dysponują szeregiem możliwości, spośród których niezmiennie najpopularniejsze jest oszustwo „na BLIKa” – proszenie Facebookowych znajomych o pożyczkę przy użyciu kodu BLIK. Pożyczkę, której przestępca nie ma oczywiście zamiaru spłacić.
Rzut oka na informacje o domenach wskazuje, iż wszystkie zostały zarejestrowane w jednej z polskich firm, zajmujących się tego typu działalnością. Nominalnie każda jest zainteresowana na inną firmę, ale – jak należało się spodziewać – nasz kontakt z kilkorgiem domniemanych właścicieli za każdym razem dowodził, iż nie mieli o tym pojęcia. Dowiedzieliby się zapewne o tym dopiero otrzymując fakturę za przedłużenie domeny. Co ciekawe, nazwy sporej części domen wskazują, iż obiektem ataku mogą być Polacy mieszkający za granicami kraju.
Uważajcie. Nie dajcie się złapać na przesadnie sensacyjne newsy, a jeśli już koniecznie musicie się czymś podzielić ze światem – upewnijcie się, czy to na pewno witryna Waszej sieci społecznościowej.
A na koniec, dla adminów, do zablokowania…
Indicators of Compromise
hxxp://*.tematyczne-wywiady.pl
hxxp://*.newsfeed24h.co.uk
hxxp://*.ciekawehistorie.pl
hxxp://*.wszyscyrodacy.com
hxxp://*.mojechwile.pl
hxxp://*.tematyczne-rozmowki.com.pl
hxxp://*.telewiadomosci.com.pl
hxxp://*.toprostezarub.xaa.pl
hxxps://*.calodobowe-wiadomosci-pl.eu/
hxxp://*.polski-poranek-pl.com
hxxp://*.roznehistorie.pl
hxxp://*.terazty24.eu
hxxp://*.webtoprostezarub.xaa.pl
hxxp://*.wszystko-na-temat.pl
hxxp://*.telewiadomosci.pl
hxxtp://*.sniadanioweinfo.pl
hxxp://*.lubimyzycie.com
hxxp://*.poland-news.pl
hxxp://*.wizjalokalna24.eu
hxxp://*.tematyczne-rozmowy-pl.eu
hxxp://*.promienieszczescia.pl
hxxp://*.tematyczne-rozmowy.pl
hxxp://*.gazetanowoczesna.pl
hxxp://*.gazeta-natemat-pol.eu
hxxp://*.zobaczto.eu
hxxp://*.polska-gazeta-dnia.pl
hxxp://*.polskie-newsy.com.pl
hxxp://*.telewywiady.pl
hxxp://*.tele24wiadomosci.com.pl
hxxp://*.uzytecznie.pl
hxxp://*.telewiadomosci-pol.com
hxxp://*.fakty-sniadaniowe-pl.com
hxxp://*.wirtualne-media.pl
hxxp://*.nasza-emigracja.pl
hxxp://*.24fakty-sniadaniowe.pl
hxxp://*.tomojawiara.pl
hxxp://*.polski-poranek.pl
hxxp://*.fakty-sniadaniowe.com.pl
hxxp://*.naszezycie.com
hxxp://*.wizjalokalna24.pl
hxxp://*.programyobywatelskie.pl
hxxp://*.newsbusiness.co.uk