Scam na platformie Mastodon, obiecują weryfikację konta, kradną dane kart

Rok temu opisywaliśmy działania, które wyglądały trochę jak próba phishingu na Mastodonie, a w praktyce były zabawą z platformą i żartem. Tym razem opisywane oszustwa są prawdziwe i mogą doprowadzić do utraty pieniędzy.

TLDR:

• scam z użyciem niekomercyjnej platformy social media Mastodon
• celem kradzież danych kart płatniczych
• zorganizowana kampania z czatem na żywo

Dla przypomnienia, Mastodon, to oprogramowanie tworzące sieć społecznościową, która w Fediwersum miała być odpowiednikiem Twittera. Składa się ona z niezależnych instancji, których zależność i działanie można nieco porównać do serwerów poczty elektronicznej: każda ma swoich użytkowników, ale umożliwiają interakcję między użytkownikami różnych instancji.

Okazja czyni złodzieja, gdzie są użytkownicy, tam jest i potencjał do oszustwa. Jakiś czas temu pojawiła się kampania wykorzystująca tę platformę. Sprawcy działają w znany i sprawdzony sposób. Grają na emocjach i – podobnie jak w opisywanym rok temu zdarzeniu – sięgają po informację o blokadzie konta.

Oszuści tworzą konta, które odpowiadają (publicznie!) na posty użytkowników, informując, że konto zostało zablokowane (Rys. 1).

Ofiara, która kliknie linka, zobaczy spersonalizowaną informację o blokadzie, wykorzystującą jej avatar oraz nazwę konta na stronie imitującej wygląd serwera Mastodon (Rys. 2).

Wystarczy, że nie zwróci uwagi na adres URL i… może się nabrać na możliwość odblokowania konta. Bo oczywiście istnieje możliwość uniknięcia przykrości i odblokowania konta poprzez weryfikację. Wystarczy tylko podać… dane do karty płatniczej, i konto będzie odblokowane! (Rys. 3)

Nie jest to przypadkowa czy jednorazowa akcja. Kampania trwa już od pewnego czasu, przestępcy są zorganizowani, na stronie gdzie podawane są dane karty jest nawet działający czat. Obsługiwany przez żywego człowieka, który szybko odpowiada (Rys 4, 5).

Warto podkreślić, że mimo niekomercyjnego charakteru sieci, admini błyskawiczne reagują na tego typu próby scamu, społeczność zgłasza próby oszustwa, a konta zamieszczające linki są blokowane. Warto reagować i zgłaszać próby nadużyć do administratorów platformy oraz – same domeny – do CERT Polska na specjalnej stronie do zgłaszania incydentów.

Jak widać, sposób działania przestępców jest prosty, wręcz prymitywny. Jednak kampania trwa, co świadczy o tym, że zapewne znajdują się ludzie, którzy dają się nabrać na tego typu oszustwa.

Badaczom bezpieczeństwa, którzy analizują złośliwe kampanie i są bardziej zainteresowani szczegółami technicznymi oraz infrastrukturą wykorzystaną w opisywanej kampanii, polecamy link do platformy urlscan.io umożliwiającej analizę stron: hxxps://urlscan.io/result/0198faf1-eff7-768b-9c68-4f860c10c20a/. Jak możemy zauważyć w zakładce „Summary” i na dole „Domains” – domena website-security-payment[.]icu w żaden sposób nie jest związana z mastodon.social.

Przypominamy, że próby oszustwa będą pojawiały się wszędzie tam, gdzie istnieje możliwość komunikacji między użytkownikami: na platformach handlowych, w sieciach społecznościowych czy w grach sieciowych. Oszuści będą próbowali grać na emocjach (uzyskanie korzyści, finalizacja transakcji, groźba blokady konta) aby skłonić nas do interakcji w celu przejęcia naszego konta lub podania danych karty płatniczej. Warto zwracać uwagę na przesyłane linki, opanować emocje, powstrzymać pośpiech i – przede wszystkim – podchodzić z dawką zdrowego sceptycyzmu do przesyłanych w ten sposób informacji, niezależnie od kanału, jakim są przesyłane. Bądźcie czujni!

~Paweł Różański