Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Uwaga na fałszywe konta znanych prezenterów. Na przykładzie rzekomego konkursu realizowanego przez Radio Eska / Eska TV
TL;DR – Profil FB jednego z prezenterów Radio ESKA S.A. został zhackowany? Bynajmniej. Przestępcy dokonali sprytnej kopii profilu oraz zabezpieczyli się dodatkowymi profilami – słupami chwalącymi się zyskami – uważajcie.
Piotr – jeden z naszych czytelników powiadomił nas o dziwnym zachowaniu Filipa Rudego Rudanacja Antonowicza na swoim profilu autorskim na FB. Pozostawiony wpis ewidentnie wygląda na scam, więc prawdopodobnie mogło dojść do przejęcia konta – tak zakładaliśmy na początku, ale chwilę później okazało się, że to skopiowane konto (rys. 1)
Rys. 1. Post zachęcający do udziału w konkursie phishingowym.
Po kliknięciu w link okazuje się, że jest się na stronie ze skróconym linkiem w postaci bit[.]ly/m/radio-eska (rys. 2). Po kliknięciu pojawia się tradycyjne, scamerskie “odbierz nagrodę”, z której link prowadzi do strony w prawidłowej domenie, tj. sites[.]google[.]com/view/rudy-radioeska. Prawidłowość polega na tym, że taką stronę znacznie trudniej zbanować w Internecie, gdyż jest hostowana przez serwery Google i została udostępniona z konkretnego profilu nieznanego użytkownika (rys. 3.).
Rys. 2. Scamerska strona schowana pod linkiem bit.ly.
Rys. 3. Strona w domenie sites.google.com.
Strona daje “typowe” objawy strony scamowej: niezgodność domeny (powinno być eska.tv, a nie coś zupełnie innego); certyfikat wystawiony niedawno w Let’s Encrypt; treści z błędami językowymi; jakość zdjęć mizerna oraz… jeden wielki brak ładu i składu (rys. 4).
Rys. 4. Błędy językowe, gramatyczne i problemy z czcionką – typowe sygnały strony phishingowej.
Co ciekawe, pod postem komentują profile które rzekomo “wygrały” (rys. 5.) w konkursie nagrody pieniężne.
Rys. 5. Fałszywe konta wspomagające główny profil scamerski
Jednak w toku szybkiej analizy, okazało się, że profil prezentera Radia Eski został skopiowany. Namierzyliśmy to dzięki rozpoznaniu identyfikatora konta Facebook (rys. 6 i 7) oraz porównaniu obu profili. Możemy też zauważyć, że profil nie ma ustawionej nazwy przyjaznej (tak jak np. https://www.facebook.com/sekurak), tylko zawsze jest to identyfikator w postaci 15 cyfr. Oznacza to, że cyberzbóje prawdopodobnie co jakiś czas zmieniają treści na profilu wymieniając je do zera. Tj. zmieniają zdjęcia, nazwę. Przez parę tygodni profil może wskazywać “Rudego Rudanacja”, a potem nagle zmienić się w np. “Tomasza Karolaka” w zależności od publikowanych konkursów, lub bycia na topie / hype danego prezentera.
Rys. 6. Skopiowany profil z fatalnej jakości zdjęciem w tle.
Rys. 7. Profil prawidłowy prezentera z przyjaznym identyfikatorem.
Oryginalny, prawidłowy profil prezentera jest dostępny pod adresem https://facebook.com/rudanacjafilip, a jednocześnie identyfikator profilu to 100044460698497. Zmieniając link do postaci https://facebook.com/profile.php?id=100044460698497 trafimy pod ten sam profil w przeciwieństwie do fałszywego profilu: https://www[.]facebook[.]com/profile.php?id=100083721592166
Sam autor również informuje na swoim profilu, że nie uczestniczy w żadnych tego typu konkursach 🙂
Rys. 8. Informacja autora jeszcze z lutego br. w sprawie problemów z fałszywymi kontami.
Jak możemy przeczytać, Filip “Rudy” miał już problemy z kontem od 13 lutego br. jednak nigdy nie doszło do fizycznego włamania na oryginalny profil użytkownika.
Zalecamy ogromną ostrożność w tego typu sytuacjach, zwłaszcza jakby doszło do przejęcia prawdziwego profilu, gdyż najzwyczajniej w świecie łatwiej wtedy o zgubienie czujności i “kliknięcie” linka lub podanie danych zastrzeżonych bo “ufamy” i “znamy” osobę która to udostępniła.
Dzięki Piotr za zgłoszenie.
~Tomek Turba
Po slowie „żandych” tez moznaby miec niejakie watpliwosci :)
Tez właśnie dostałam to że jestem 1 z 15 osób do nagrody głównej, i że szybko muszę się zarejestrować
Dzięki za info że to oszustwo.
W radio eska z Poznania , była mowa że w waszych konkursach nie trzeba podawać numerów kart kredytowych a tym razem wołają i to szybko
Hej, czy jest osoba, która została wybrana jako jedna z 15 osób do odebrania nagrody głównej w konkursie jednego z prezenterów eski na Facebooku, i została oszukana ?
A ja głupi zarejestrowałem się.
Podając dane z karty.
Mało tego zawsze byłem ostrożny i pierwszy raz się w pakowałem. Wysłałem we wiadomości screena z rejestracji ale następnie go cofnalem i fałszywy profil nie zdążył go zobaczyć aczkolwiek rejestracja poszła i nie wiem co teraz