Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Oszustwa wykorzystujące portale społecznościowe

Tagi:

Które zasoby sieciowe najczęściej przyciągają cyberprzestępców? Te, za pośrednictwem których mogą dotrzeć do największej liczby użytkowników i uzyskać możliwie największe zyski. Dzisiaj praktycznie wszyscy użytkownicy internetu posiadają konto na portalu społecznościowym (często nawet kilka kont na różnych portalach), dlatego strony te cieszą się szczególną popularnością wśród cyberprzestępców. Najatrakcyjniejszym portalem społecznościowym jest Facebook: według statystyk firmy Kaspersky Lab, fałszywe strony imitujące Facebooka odpowiadały za niemal 22% wszystkich przypadków, w których uruchomiony został komponent heurystycznej ochrony przed phishingiem.   

Przydatne konto

Przechwycenie kont na portalu społecznościowym pozornie nie powinno być czymś, na co skuszą się cyberprzestępcy, ponieważ działanie to nie przynosi natychmiastowych zysków – w końcu nie przechowujemy naszych oszczędności na Facebooku, a informacje osobiste podawane na takich portalach mogą zainteresować tylko naszych przyjaciół i najbliższych. Jednak taki pogląd może być mylący. W rzeczywistości istnieje kilka powodów, dla których cyberprzestępcy mogą chcieć uzyskać nielegalny dostęp do kont na Facebooku lub innym portalu społecznościowym:  

  • Aby rozprzestrzeniać odsyłacze do stron phishingowych. Dla celów phishingowych skuteczniej jest wykorzystywać przechwycone, istniejące już konta niż tworzyć konta ad hoc przy użyciu botów. Jest bardziej prawdopodobne, że użytkownik kliknie odsyłacz prowadzący do fałszywej strony banku, jeśli został wysłany przez jego znajomego z portalu społecznościowego a nie przez obcą osobę.   
  • Do rozprzestrzeniania szkodliwego oprogramowania. Podobnie jak w przypadku odsyłaczy do stron phishingowych, użytkownicy portali społecznościowych prędzej pobiorą i otworzą pliki od swoich znajomych z Facebooka.
  • Aby wysyłać niechciane wiadomości do osób z listy kontaktów swojej ofiary oraz publikować spam na tablicy swoich znajomych, gdzie mogą go zobaczyć inni.   
  • Aby przeprowadzać oszustwa, takie jak wyłudzanie pieniędzy z przechwyconych kont znajomych. Oszust może wysyłać wiadomości, prosząc o przekazanie pieniędzy w zamian za pomoc. 
  • W celu gromadzenia informacji o określonych osobach. Takie informacje mogą zostać wykorzystane później do przeprowadzenia ataków ukierunkowanych, takich jak phishing ukierunkowany.
  • Aby sprzedawać „porwane” konta. Cyberprzestępcy sprzedają porwane konta innym cyberprzestępcom, którzy z kolei wykorzystują je do rozprzestrzeniania spamu, odsyłaczy do stron phishingowych lub szkodliwego oprogramowania. 

Porywacze najczęściej wykorzystują ostatnią opcję z tej listy, zarabiając pieniądze na sprzedaży skradzionych danych.

Dane statystyczne

Według danych z 2013 r. pochodzących z sieci Kaspersky Security Network, strony phishingowe imitujące portale społecznościowe odpowiadały za ponad 35% przypadków, w których został uruchomiony heurystyczny komponent antyphishingowy. Łącznie, odnotowaliśmy ponad 600 milionów prób uzyskania dostępu przez naszych użytkowników do stron phishingowych. Strony imitujące Facebooka stanowiły 22% wszystkich incydentów phishingowych.    

Heurystyczny komponent systemu antyphishingowego jest uruchamiany w momencie, gdy użytkownik klika odsyłacz prowadzący do strony phishingowej, która nie znajduje się jeszcze w bazach danych firmy Kaspersky Lab. Nie ma znaczenia, w jaki sposób został otworzony taki odsyłacz: użytkownik mógł kliknąć odsyłacz zawarty w wiadomości phishingowej, w wiadomości przesyłanej za pośrednictwem portalu społecznościowego lub mogło to nastąpić na skutek aktywności szkodliwego oprogramowania. Gdy komponent heurystyczny zostanie uruchomiony, użytkownik zobaczy komunikat ostrzegający przed potencjalnym zagrożeniem. 

facebookphishing1_en_sm.png

W 2013 r. fałszywe strony Facebooka stanowiły 21,89% wszystkich przypadków, gdy został uruchomiony heurystyczny komponent ochrony antyphishingowej

Na początku 2014 r. sytuacja uległa nieznacznej zmianie: Yahoo objął prowadzenie pod względem liczby incydentów wykrytych przez heurystyczną ochronę przed phishingiem. Mimo to głównym celem phisherów nadal jest Facebook: w pierwszym kwartale 2014 r. fałszywe strony Facebooka stanowiły 10,85% wszystkich przypadków uruchomienia heurystycznego komponentu ochrony przed phishingiem.

Każdego dnia produkty firmy Kaspersky Lab rejestrują ponad 20 000 prób kliknięcia przez użytkowników odsyłaczy prowadzących do fałszywych stron Facebooka.

facebookphishing2.jpg
Dzienna liczba przypadków uruchomienia heurystycznego komponentu systemu antyphishingowego przez fałszywą stronę Facebooka 

Większość incydentów ma miejsce w Stanach Zjednoczonych (od 1 500 do 7 500 dziennie), Kanadzie (od 1 000 do 2 500) oraz Niemczech (2 000 do 4 500). W Rosji liczba ta nie przekracza 1 000 dziennie.

W 2013 r. 22% użytkowników w Indiach próbowało kliknąć odsyłacz prowadzący do fałszywej strony Facebooka, we Francji odsetek ten wynosił 14,56%, w Stanach Zjednoczonych – 10,93%, natomiast w Rosji - 1,5%.     

facebookphishing3.jpg
Odsetek użytkowników, którzy próbowali uzyskać dostęp do fałszywej strony Facebooka w 2013 r. (w stosunku do łącznej liczby użytkowników produktów firmy Kaspersky Lab w danym państwie)

Przynęta

W jaki sposób użytkownicy trafiają na fałszywe strony internetowe? Cyberprzestępcy wymyślili wiele sposobów wabienia swoich ofiar na strony phishingowe. Zwykle wysyłają odsyłacze do stron phishingowych przy użyciu jednej z poniższych metod:     

  • Listy imitujące powiadomienia z portalu społecznościowego. Wiadomości te są wysyłane ze specjalnych kont e-mail. 
  • Listy wysyłane ze skradzionych kont e-mail na powiązane z nimi listy adresów. Może to być wiadomość wysłana do znajomych, zachęcająca do kliknięcia odsyłacza, aby obejrzeć coś ciekawego.
  • Wiadomości na portalach społecznościowych wysyłane z porwanych lub fałszywych kont utworzonych ad hoc.
  • Wiadomości wysyłane na forach.
  • Wyniki wyświetlane przez wyszukiwarki.
  • Banery przedstawiające atrakcyjne zdjęcia lub podszywające się pod powiadomienie z portalu społecznościowego i umieszczane przez cyberprzestępców w zasobach osób trzecich.

Użytkownicy mogą również znaleźć się na stronach phishingowych, jeśli ich komputer lub ruter został zainfekowany szkodliwym oprogramowaniem, które potrafi np. modyfikować lub zastępować plik ‘hosts’, fałszować DNS lub podmieniać zawartość. Tego rodzaju szkodliwe oprogramowanie jest szczególnie niebezpieczne, ponieważ przekierowuje użytkowników na strony phishingowe, w momencie gdy klikną legalne odsyłacze prowadzące do organizacji, których strony stały się celem ataków phishingowych.        

Dlatego też użytkownicy, za każdym razem, gdy otwierają stronę internetową, powinni zwracać uwagę, czy jest dostępne bezpieczne połączenie. Facebook wykorzystuje protokół HTTPS w celu transmisji danych. Brak bezpiecznego połączenia, nawet jeśli adres URL jest poprawny,  oznacza prawdopodobnie, że użytkownik znajduje się na fałszywej stronie. 

Z drugiej strony, poprawny adres URL i dostępność bezpiecznego połączenia nie zawsze stanowią gwarancję, że użytkownik nie trafił na fałszywą stronę. W razie wątpliwości, należy  sprawdzić, czy certyfikat należy do Facebooka. Ponadto, zawsze powinno się zwracać uwagę na wszystkie komunikaty pochodzące z zainstalowanego na komputerze oprogramowania bezpieczeństwa.

Wiadomości e-mail

Wysyłanie wiadomości e-mail to popularna metoda, przy pomocy której cyberprzestępcy dostarczają odsyłacze do stron phishingowych. Wiadomości te często nie są spersonalizowane, tj. nie są bezpośrednio kierowane do konkretnych osób i zwykle imitują powiadomienie z Facebooka informujące o otrzymaniu wiadomości prywatnej lub o zarejestrowaniu się znajomych na tym portalu. Jeśli użytkownik kliknie taki odsyłacz, znajdzie się na stronie phishingowej, na której będzie nakłaniany do podania swoich danych uwierzytelniających. Dane te zostaną natychmiast wysłane cyberprzestępcom, a użytkownicy przekierowani do rzeczywistej strony logowania Facebooka.       

Cyberprzestępcy często uciekają się do zastraszania, wysyłając fałszywe wiadomości, w których grożą zablokowaniem kont użytkowników. Aby do tego nie dopuścić, użytkownicy mają kliknąć podany w wiadomości odsyłacz i podać na stronie swoje dane uwierzytelniające logowanie. Podejście to opiera się na zaskoczeniu użytkownika, przez co postępuje nieostrożnie.     

Poniżej znajduje się przykład fałszywej wiadomości z Facebooka informującej użytkownika o ostatnich wydarzeniach, jakie mógł przeoczyć. Po najechaniu kursorem na odsyłacz pojawiające się okienko wyskakujące sugeruje, że odsyłacz prowadzi do nieznanego adresu, który różni się od oficjalnego adresu Facebooka. Co ciekawe, cyberprzestępcy zwracają się do użytkownika, wykorzystując część adresu e-mail odbiorcy.   

facebookphishing4.jpg

Poniżej kolejny przykład fałszywej wiadomości – tym razem w języku portugalskim. Odbiorca zostaje ostrzeżony, że jego konto może zostać wkrótce zablokowane. Aby do tego nie dopuścić, użytkownik ma kliknąć odsyłacz, który rzekomo prowadzi do Facebooka, i podać swoje dane uwierzytelniające. Jednak po najechaniu kursorem na odsyłacz okazuje się, że w rzeczywistości nie prowadzi on do Facebooka, ale do zupełnie niepowiązanej z nim strony.   

facebookphishing5.jpg

Portale społecznościowe

Wiadomości phishingowe często są wysyłane za pośrednictwem portalu społecznościowego ze skradzionych kont zarejestrowanych przez znajomych potencjalnej ofiary. Zwykle imitują one krótkie prywatne wiadomości i zawierają pytanie typu: „Czy osoba na tym zdjęciu to ty?” oraz odsyłacz do wspomnianego „zdjęcia”. Jednak po kliknięciu odsyłacza użytkownik zostaje przekierowany na fałszywą stronę logowania Facebooka, która zawiera standardowy komunikat „Aby kontynuować, zaloguj się”. Jeżeli użytkownicy nie nabiorą podejrzeń i podadzą swoje dane uwierzytelniające, zostaną one natychmiast wysłane cyberprzestępcom.     

Na całym świecie

Ze względu na popularność Facebooka na całym świecie cyberprzestępcy tworzą fałszywe strony internetowe w różnych językach: angielskim, francuskim, niemieckim, portugalskim, włoskim, tureckim, arabskim i innych. 

Poniżej przedstawiamy kilka przykładów fałszywych stron Facebooka. Prosimy zwrócić uwagę na pasek adresu: w adresie URL strony phishingowej cyberprzestępcy często używają słów brzmiących jak „Facebook”, próbując w ten sposób zdezorientować niedoświadczonych użytkowników internetu. Czasami adres URL nie ma nic wspólnego z adresem Facebooka, chociaż wygląd strony przypomina wygląd rzeczywistych stron Facebooka. Warto również zauważyć brak bezpiecznego połączenia na tych stronach, co wyraźnie wskazuje na to, że jest to strona phishingowa.    

facebookphishing6_sm.jpg
Przykłady stron phishingowych imitujących strony logowania się Facebooka

facebookphishing7_sm.jpg
Przykłady stron phishingowych imitujących główną stronę logowania się Facebooka, zawierające formularz rejestracyjny wymagający podania danych osobowych

Jak widać na zaprezentowanych przykładach, strony phishingowe imitują stronę Facebooka służącą do rejestracji lub logowania się. Naturalnie, celem cyberprzestępców jest gromadzenie danych osobowych umożliwiających dostęp do kont w celu wykonywania dalszych szkodliwych działań.  

Phishing mobilny

Właściciele smartfonów lub tabletów, którzy odwiedzają portale społecznościowe ze swoich urządzeń mobilnych, również są zagrożeni utratą swoich osobistych danych. Cyberprzestępcy tworzą wyspecjalizowane strony dla przeglądarek mobilnych, które imitują procedurę logowania się na Facebooku.    

facebookphishing8.jpg
Przykłady stron phishingowych imitujących Facebooka dla przeglądarek mobilnych

Niektóre przeglądarki mobilne ukrywają pasek adresu podczas otwierania strony, co wykorzystują cyberprzestępcy. Utrudnia to użytkownikowi zidentyfikowanie oszustwa. 

facebookphishing9.jpg
Strona phishingowa z ukrytym paskiem adresu

Szkodliwe programy, które kradną dane osobiste użytkowników, mogą również być aktywne na urządzeniach mobilnych. Skradzione informacje obejmują również dane uwierzytelniające konta na portalach społecznościowych. Oprócz wszechstronnego oprogramowania spyware istnieją wyspecjalizowane mobilne programy szpiegujące, których celem są portale społecznościowe. Na przykład, trojan mobilny może podszyć się pod oficjalną aplikację dla Facebooka w momencie uruchomienia jej przez użytkownika, tak aby otworzyła się aplikacja phishingowa. Ponadto istnieje ryzyko, że użytkownik pobierze aplikację phishingową imitującą oficjalną aplikację mobilną dla Facebooka.       

Zakończenie

Gdy cyberprzestępcy szpiegują konta na portalach społecznościowych, główną bronią, jaką mają do dyspozycji, jest brak ostrożności i czujności właścicieli kont. Poniżej przedstawiamy zalecenia dla posiadaczy takich kont:   

  • Jeśli otrzymasz powiadomienie e-mail z Facebooka lub wiadomość, z której wynika, że twoje konto może zostać zablokowane, lub jakąkolwiek wiadomość, która nakłania cię do podania danych uwierzytelniających po kliknięciu załącznika lub za pośrednictwem załączonego formularza, 
    • porównaj adres nadawcy z adresem, z którego otrzymujesz zwykle powiadomienia. Jeżeli adres ten różni się od wcześniejszego, istnieje ryzyko, że masz do czynienia z phishingiem. Jednak nawet jeśli adres wygląda na właściwy, cyberprzestępcy mogli zamaskować prawdziwy adres nadawcy. 
    • w żadnym razie nie podawaj swoich danych uwierzytelniających w załączonych formularzach. Facebook nigdy nie prosi użytkowników o podanie swoich haseł w e-mailu lub wysłanie hasła za pośrednictwem wiadomości e-mail. 
    • najedź kursorem na odsyłacz i sprawdź, czy prowadzi do oficjalnej strony Facebooka. Powinieneś również wpisać ręcznie adres Facebooka w pasku adresu – cyberprzestępcy potrafią ukryć adresy stron, do których prowadzą użytkowników. 
  • Jeśli zostaniesz przekierowany na stronę internetową (po kliknięciu banera lub odsyłacza zawartego w wiadomości e-mail itd.), upewnij się, że adres URL w pasku adresu jest rzeczywiście taki, jaki powinien być.  
  • Jeśli ręcznie wpisałeś adres URL w pasek adresu, sprawdź go ponownie po załadowaniu się strony, aby upewnić się, że nie został sfałszowany. 
  • Zawsze sprawdzaj, czy jest dostępne bezpieczne połączenie. Jeśli nie, istnieje ryzyko, że odwiedzasz fałszywą stronę, nawet jeśli adres URL jest poprawny.

Jeśli zaczniesz otrzymywać od znajomych podejrzane e-maile oraz/lub powiadomienia, spróbuj skontaktować się z nimi: ich konto e-mail lub na portalu społecznościowym mogło zostać zhakowane lub porwane. W takim przypadku twoi znajomi będą musieli natychmiast zmienić hasło.