NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Jedna z czytelniczek napisała do nas w ten sposób:
Zaczęło się od tego że mojej koleżance parę dni temu podczas przeglądania OLX w przeglądarce zaczął wyskakiwać dziwny komunikat. Więc moja koleżanka z racji tego, że jej telefon był już stary i już ledwo dyszał kupiła nowy telefon. Wczoraj koleżanka mi pisze że na nowym telefonie podczas przeglądania OLX też jej to wyskakuje.
Zastanawiałyśmy się co jest grane bo nie było żadnego punktu zaczepienia, aczkolwiek znalazłem pewna zależność, Myślałam że też ma wirusa na koncie Googla i nawet skanowałysmy urządzenia antywirusami i one nic nie wykryły.
Więc wpadłam na pomysł zwiadów na OLX, chwile na nim poszperałam i mi tez wyskoczył taki komunikat. Wniosek jest tego taki że cały OLX jest zainfekowany (…)
Kto wie, może ktoś rzeczywiście zhackował OLX, tak jak kiedyś serwis Money.pl? Zobaczmy.
Komunikat (popup) wyglądał tak:
Wygląda to na względnie klasyczny schemat z wyciąganiem danych osobowych / naciąganiem na płatne subskrypcje (być może również kradzież danych kart płatniczych). Jak ten “klasyczny schemat” jest dostarczany? Reklamą!
Co ciekawe, inny czytelnik zaaletował nas ostatnio podobnym problem, który pojawił się tym razem w serwisie wykop.pl:
W obu przypadkach popupy pojawiły się tylko na przeglądarkach mobilnych. @wolenczak dopisał jeszcze:
Po wyczyszczeniu cache i ustawieniu śledzenia w tryb ścisły, już się nie pojawia to przekierowanie.
Na wykopie również można znaleźć komentarze użytkowników, lekko zaniepokojonych problemem:
Zauważcie, że zarówno Wykop jak i OLX wykorzystują monetyzację reklamami od Google:
Co z samą domeną luckypuppy[.]top? Ma dość słabą reputację:
Jak z kolei widzicie tutaj – scam (z tą konkretną domeną) nie jest nowy (oraz niekierowany tylko na Polskę).
Wnioski?
~Michał Sajdak
Michał nie tylko mobilne, widziałem to samo w akcji na desktopowym Edge (chromium),co ciekawsze w historii przeglądania Onet i WP tylko.Teoria z reklamą jest dużo bardziej prawdopodobna, tym bardziej, że komp w sieci dość konkretnie zabezpieczonej…
Na stacjonarnym, na chromie, wchodząc w wp.pl miałem ten sam problem.
Potwierdzam. Na ww onetach, wpach też to miewałem. Na ich głównych stronach. Na szczęście olałem te ścierwo (w życiu nie ma nic za darmo, smartfonów, PC, nawet śmierci).
Komputer z telefonem to samo zło. Przeciętny użytkownik nie zabezpiecza komputera stacjonarnego, laptopa a tym bardziej tzw. telefonu. Jeśli telefon używany jest do dzwonienia, to nie zostanie tak łatwo zainfekowany. Ale weź i wytłumacz to dzieciom. “Koledzy użwyajo to i ja chcem.”
Zgadzam się z wyjątkiem tych dzieci. Popytaj znajomych jak często skanują telefony. Od paru lat regularnie czyszczę smartfony znajomym czy rodzinie (przedział wiekowy 10-60) bo wyskakują reklamy, bo pojawia się jakieś “okienko” itp.
Dzięki za podpowiedź o blokerze reklam Panie Michale. Nigdy nawet o tym nie pomyślałem, zawsze czyściłem pamięć podręczną i ciasteczka potem instalowałem na szybki skan jakiegoś avasta.
Orange’owa Cyberblokada to wyłapuje i straszy komunikatami w trakcie przeglądania OLX’u
Ustawić Quad9 – kolejne rozwiązanie. Ta strona jest dodana do blokad przez CERT Polska, z których korzysta wspomniana usługa DNS.
To raczej nie z googla wyciekło, oni reklamy serwują w iframe – a to na screenach raczej wygenerowane za pomocą skryptu, który miał dostęp do window.top. Mogło pociec od dowolnego 3rd party którego skrypty mają osadzone na stronie.
Dziś przy logowaniu na o2.pl również jest to przekierowanie.
A kojarzycie konfetti na stronie + info o wygranej czegoś tam? To też jest z reklam, czy raczej zainfekowana strona?