Poradnik o tym jak nie robić kampanii scamowych

Na naszą skrzynkę sekurak@sekurak.pl otrzymaliśmy od Was ciekawy przykład kampanii scamowej, która jest wzorcowym przykładem jak można ją “zepsuć” na każdym etapie. 

11 września został utworzony profil firmy “App Blog” na portalu Facebook jako rzekomy profil związany z Elonem Muskiem, który „otworzył swoją działalność w Polsce i zachęca do zarabiania pieniędzy” (rys. 1). Co ciekawe, została wykupiona kampania reklamowa, którą FB dopuścił.

Rys. 1. Kampania sponsorowana konta App Blog.

Jak możemy zauważyć, obrazek wklejony w post wygląda jakby był tweetem z prawdziwego profilu Elona Muska, a link na pewno jest prawidłowy bo znajduje się w domenie accounts.google.com. Warto zwrócić też uwagę, że post sponsorowany został udostępniony 11 razy, a liczba komentarzy i reakcji to około 200. Co ciekawe, przeglądając niektóre komentarze da się zauważyć, że osoby młodsze natychmiast wyczuły SCAM i nawet zaczęły ironizować ze scamerem, niestety ten już poległ językowo w odpowiedziach… (rys. 2)

Rys. 2. Interakcja scamera z ironizującym użytkownikiem.

Przyjrzeliśmy się też co siedzi pod linkiem i jak się okazuje… kolejny fail. Link, który prawidłowo miał wyglądać tak: https://sites[.]google[.]com/view/1123fsdfqw1 był przypadkowo powielony wielokrotnie i wklejony jako adres URL do reklamy (rys. 3), więc nie działał prawidłowo i nie kierował do właściwej strony z phishingiem tylko wyświetlał informację, że strona nie istnieje. 

Rys. 3. Błędnie powielony link w reklamie sponsorowanej na FB.

Jak już poprawiliśmy go do postaci właściwej, to wymagał logowania do konta Google, gdzie następowało przekierowanie do strony mw[.]teleportertyr[.]site, czyli do niesamowitego bota Tesla X – najnowszego projektu Elona Muska w Polsce!!!!1 (ironia).

Rys. 4. Sympatyczna rozmowa z “botem” Tesla X o naszych pragnieniach.

Po odpowiedzeniu na kilka prostych pytań, sztuczna inteligencja (na pewno) prosi nas o to byśmy zostawili dane kontaktowe w postaci imienia, nazwiska, adresu e-mail oraz telefonu, co jest oczywistym przykładem wyłudzania danych. 

Rys. 5. Formularz wyłudzający dane.

Dla przypomnienia, jeżeli nie byłeś uczestnikiem naszego szkolenia “Nie daj się cyberzbójom” to warto wspomnieć, że powyższe dane wystarczą by przejąć Twoją skrzynkę e-mail oraz dostęp do konta większości portali społecznościowych, a być może i dostęp do konta bankowego. Napastnik posiadając adres e-mail, imię, nazwisko oraz telefon może być w stanie zmienić hasło do w/w. konta poczty. Przykładowo wykorzystując technikę vishingu (dzwonienie do ofiary) w celu przekazania informacji o konieczności “instalacji” zdalnej aplikacji bankowej na komputerze, która okazuje się złośliwym oprogramowaniem wykradającym dane z przeglądarki.

Jakby tego było mało, przeglądając profil konta na FB który rozpoczął scamową kampanię, można dostrzec, że pierwszego dnia zamiast zdjęcia profilowego Elona Muska, zostało opublikowane zdjęcie prawdziwej osoby. Czy to sam scammer popełnił epic-fail? Nie wiadomo, może to być również fałszywe zdjęcie lub przypadkowej osoby. Patrząc jednak na wszystkie wpadki powyżej, to całkiem realny scenariusz, że jednak jest prawdziwe.

Rys. 6. Epic-fail scamera, a może kolejny fake?

Głęboko wierzymy, że nasi czytelnicy nie nabraliby się na taki scam i większość z nich była tymi osobami, które reagowały prześmiewczo na post w komentarzach. 

~tt