Coż, akcja potoczyła się naprawdę błyskawicznie. Chodzi o wpis: Oszustwa reklamowe na dużych platformach internetowych opublikowany parę dni temu przez CERT Polska. Jest tam mowa głównie o fałszywych reklamach na platformie Facebook. Warto udostępnić. No więc udostępniliśmy wpis na naszym profilu na FB z dodatkowym komentarzem opisującym akcję (tutaj wersja…
Czytaj dalej »
Zacznijmy od dobrej wiadomości, co sygnalizujemy w tytule emotką :-) Tj. nikt nie chce zamknąć profilu sekuraka na FB, a cała akcja jest oszustwem, mającym na celu przejęcie konta ofiary. No więc najpierw taka wiadomość: Link prowadzi… do Facebooka. OK, sporo osób może się na to złapać. Następnie pokazuje się…
Czytaj dalej »
Podatność została zlokalizowana w Accounts Center, gdzie można było dodać do swojego konta numer telefonu. Na telefon wysyłany był 6-cyfrowy kod potwierdzający, że dana osoba jest właścicielem numeru. Ale – i tu dochodzimy do istoty problemu – Facebook (czy raczej Meta) nie zaimplementował mechanizmu anty-bruteforce. Zatem: Wybranie numeru telefonu konta-celu…
Czytaj dalej »
Artur podesłał nam zrzut ekranowy reklamy, która pokazała się mu na Facebooku (oczywiście czerwony dopisek jest od nas ;) Gdzie prowadzi link? O tutaj: hxxps://mega(kropka)nz/file/iFlyWAxD#EpqvqJd6ZtgtDrjN1LquBZ3vQWX8hd7rC1N2dztXGcc Co jest w środku? Rar ze złośliwym oprogramowaniem, które na razie dość mizernie wykrywane jest przez antywirusy – tylko 11 na 57 silników: Całość wpisu…
Czytaj dalej »
Jak informuje Wall Street Journal, Meta (dawniej Facebook) w ostatnim roku zwolniła lub zdyscyplinowała ponad dwudziestu pracowników i współpracowników za rzekome naruszanie zasad bezpieczeństwa i przejmowanie kont użytkowników. Niektóre z tych przypadków były związane z przekupstwem. Wśród zwolnionych byli współpracownicy, którzy pracowali jako ochroniarze w obiektach firmy zajmującej się mediami…
Czytaj dalej »
Na naszą skrzynkę sekurak@sekurak.pl otrzymaliśmy przykład kampanii phishingowej wykorzystujący realny, potwierdzony profil na FB założony jako belgijski fanpage dla filmu “Niezgodna” (ang. Divergent) pod linkiem: https://www.facebook.com/TheDivergentSeries/ – 5 mln użytkowników lubi to. 3 października o 06:51 nad ranem ktoś z profilu opublikował link do artykułu w “Dzienniku Zachodnim” (fake) pod…
Czytaj dalej »
„Gotowe”. Znaczenie tego słowa zapewne znają ci, którzy spotkali się ze scamami na Facebooku polegającymi na stworzeniu wpisu o ogromnej liczbie polubień, komentarzy. A następnie kontakt z ofiarami, które chcą otrzymać darmowy: telewizor/telefon/komputer/węgiel/niepotrzebne skreślić. W każdym razie zobaczcie na fejkowy profil Samsunga: Mamy tutaj informację, że FB współpracuje z organizacjami…
Czytaj dalej »
8 września 2022 roku w newsroomie firmy Meta, czyli właściciela m.in. Facebooka i Instagrama, ukazała się informacja o wprowadzeniu nowego rozwiązania, mającego chronić prywatność i poprawić bezpieczeństwo użytkowników Facebooka. Chodzi o stworzenie dynamicznych identyfikatorów FBID w miejsce dotychczasowych – niezmiennych. Identyfikatory użytkowników Facebooka są nadawane przy zakładaniu konta i umożliwiają…
Czytaj dalej »
Czytelnik podesłał nam świeży przykład oszustwa: „Darmowy telewizor do odebrania, bo wyjeżdżam” – brzmi jak spora liczba klików (no dobra, dla niektórych brzmi od razu jak oszustwo). A co po wejściu na ogłoszenie? Strona mająca https i kłodkę (a jakże!) w przeglądarce, ale zdecydowanie nie będąca Facebookiem; wykradająca za to…
Czytaj dalej »
Dla przestępców nie ma czasu odpoczynku, co więcej – gdy jedni świętują, drudzy próbują łowić ofiary. Tym razem CERT Polska donosi o tego typu nieprawdziwej informacji rozpylanej na Facebooku: Po wejściu na video „jest już tylko jeden krok” – czyli strona udająca Facebooka prosi nas o podanie danych do logowania:…
Czytaj dalej »
Historię konta swojej mamy przesłał nam jeden z czytelników. Co się wydarzyło? Mama nie mogła zalogować się do Facebooka od poniedziałku (10.01.2022). Sprawdziłem i zostało zmienione hasło na Facebooku na koncie mamy [konto zostało zhackowane – przyp. sekurak]. Goniąc myślami chciałem odzyskać hasło i próbowałem dokonać tego poprzez adres e-mail,…
Czytaj dalej »
W reklamy nikt nie chce klikać (również te facebookowe ;), więc przestępcy cały czas próbują nowych metod. Może bardziej skuteczne okaże się wspomnienie stron, które chcemy zaatakować? Jeden z czytelników podesłał nam opis takiej akcji. 1. Niewinne wspomnienie o stronie (może to ktoś ważny? może dostałem jakiś bonus?) 2. Dalej…
Czytaj dalej »
Kilka dni temu dyrektor ds. zarządzania produktem (Messenger) Ruth Kricheli ogłosił dość ciekawe dla miłośników prywatności zmiany w komunikatorze Messenger: Pierwszą nowością jest szyfrowanie e2e (end-to-end) rozmów głosowych i wideo w Messengerze. W praktyce oznacza to, że nikt, w tym Facebook, nie powinien być w stanie podsłuchiwać treści naszych rozmów….
Czytaj dalej »
Ostra seria podatności tutaj. Na celowniku tym razem był jeden z systemów legal – w domenie thefacebook.com. Dokładnie rzecz biorąc – ten system. Zaczęło się od zlokalizowania ciasteczka o nazwie .ASPXAUTH Jest to ciastko sesyjne, ale jakby tu dostać się na admina? Badacz miał nosa do tego typu przypadku (doświadczenia…
Czytaj dalej »
Pamiętacie rozważany swego czasu w Europie „podatek od hiperlinków„? Na bardzo zaawansowanym etapie podobnej regulacji jest Australia, która chce wymóc prostą zasadę: dana platforma (np. FB czy Google) udostępnia u siebie linki (+ zajawki) do zewnętrznych newsów – ma zapłacić stronom na których dana treść została opublikowana. Facebook postanowił na…
Czytaj dalej »