Phishing wykorzystujący popularny profil na Facebooku

Na naszą skrzynkę sekurak@sekurak.pl otrzymaliśmy przykład kampanii phishingowej wykorzystujący realny, potwierdzony profil na FB założony jako belgijski fanpage dla filmu “Niezgodna” (ang. Divergent) pod linkiem: https://www.facebook.com/TheDivergentSeries/ – 5 mln użytkowników lubi to.

3 października o 06:51 nad ranem ktoś z profilu opublikował link do artykułu w “Dzienniku Zachodnim” (fake) pod adresem: posterspro[.]com/products/imts000702-blk z reklamą na “Elona”. Domena stoi za Cloudflare, ale kraj rejestratora wyświetla się jako CN (Chiny).

Artykuł w “Dzienniku” jest bardzo rozpisany, widać, że tłumaczony ale jednak tekstu jest dużo, linków do jednego phishingowego formularza dużo, zdjęć dużo, a także udawanych komentarzy pod artykułem dużo (komentarze są zdjęciem). 

Oczywiście wszystko jest fałszywe i nie jest to prawdziwy Dziennik Zachodni, patrząc tylko na domenę. Na dole strony natomiast jest formularz proszący o imię, nazwisko i adres e-mail:

Jak kliknie się „Dalej” to pojawia się prośba o numer telefonu po której “zmienimy nasze życie już dziś!”

Po kliknięciu “Rozpocznij teraz” wpada się na stronę: https://biticodes[.]pro/welcome/5pspnqd7ut?name=Biti%20Codes.com&amount=1000&currency=z%C5%82&country=PL&succ=s&redirect=https%3A%2F%2Fla.leadmart[.]io%2Fu%2Fd%2F4dVkFmRw8FpJGlb&l=PL 

Trzeba odpowiedzieć na pytanie o płeć, wiek i ile chcemy przeznaczyć na “inwestycję zmieniającą życie”:

Następnie pojawia się bardzo długa strona z kalkulacjami oraz filmem z wizerunkiem ludzi odpalanym z adresu: https://biticodes[.]pro/welcome/res/media/qPSbdBYqMQeo.mp4

Po kliknięciu “Przejdź do mojego konta” powinniśmy trafić pod link https://am[.]adsmania[.]one/u/d/clGTW3kQsPaEIHq&t=3 gdzie w nagłówku leci “Cookie” z takim ciągiem:

GET /u/d/clGTW3kQsPaEIHq&t=3 HTTP/2

Host: am[.]adsmania[.]one

Cookie: AWSALB=MHhBRAAf51dECmkppWjV1sCzjHU924Pa7AHyfFRhAETC2IUBvRUlDd3JnmKQHcq+hjmrFN8WO4qE9/9xhFhYpXp/LSvSdJDxoXzrNomYBsb5puCREGeJ0Yzi/frX

(...)

Sec-Fetch-Dest: document

Referer: https://biticodes[.]pro/

Ten ciąg wygląda na to, że koduje wcześniej podane dane takie jak: imię, nazwisko, e-mail, telefon, płeć, wiek, kasę i przesyła te dane do am[.]adsmania[.]one. 

Ostatecznie jednak trafiamy na stronę oopserror[.]com z podrobioną stroną błędu HTTP 404 bo parametr “error” od razu jest podawany w linku przekierowującym. Jest to kodowanie Base64 z komunikatem jak ze zrzutu poniżej:

GET c/?error=RXJyb3IgQ29kZSAxMDA4OiBzb21ldGhpbmcgd2VudCB3cm9uZyBwbGVhc2UgY29udGFjdCBzdXBwb3J0 HTTP/2

Host: www[.]oopserror[.]com

Upgrade-Insecure-Requests: 1

(...)

Sec-Fetch-Site: cross-site

Sec-Fetch-Mode: navigate

Sec-Fetch-User: ?1

Sec-Fetch-Dest: document

Referer: https://biticodes[.]pro/

Z tego co udało nam się dodatkowo ustalić to wizerunki osób na filmach są prawdziwe i były wykorzystane w kampaniach promocyjnych m.in. aplikacji SkyCash. Nawet na filmach to widać, że przestępcy nie zajmowali się zmianą zrzutów ekranów w telefonach prezenterów, a chodziło im, by odbiór filmu był, że dzięki ich kampanii phishingowej faktycznie zyskamy dużo pieniędzy. Jak zawsze.

~tt