Znajomi, tagi i Facebook: nowa bitwa przeciwko scamowi cz.II

Znajomi, tagi i Facebook: nowa bitwa przeciwko scamowi cz.II

Marzec 15, 2016 superadmin, Bezpieczeństwo, Poradniki, Szkodliwe oprogramowanie, Brak komentarzy

Problemy mediów społecznościowych nie kończą się tylko na wyłudzeniu danych. Wiele sieci społecznościowych może stać się idealną i oszczędną platformą do rozpowszechniania wirusów, robaków, botów, trojanów, rootkitów, spyware, adware, grayware, fałszywego oprogramowania antywirusowego, jak również innych odmian złośliwego oprogramowania. Skradzione adresy e-mail mogą być wykorzystywane do dystrybucji zainfekowanych plików dołączanych do każdej wiadomości e-mail. Złośliwe oprogramowanie może przekształcić komputer w tzw. Zombie, który będzie sterowany z zewnątrz i wykorzystywany do większych ataków.

Lista znajomych użytkownika (która może być widoczna dla innych, jeśli nie zostaną zmienione ustawienia prywatności) może być wykorzystywana przez atakującego. Może on zgromadzić dane na temat wielkości firmy, w jakiej pracuje dana osoba, jego stanowiska, informacji na temat sprzętu, na jakim pracuje itp. Często jest to więcej wrażliwych danych niż atakujący uzyskałby atakując sieć firmową.

Scenariusz ten jest bardzo prawdopodobny, ponieważ od dawna atakujący łączą technikę inżynierii społecznej z technikami programistycznymi. Wykorzystując je obie cyberprzestępca może skierować atak na pracowników, którzy mogą mieć dostęp do określonych danych w sieci firmowej.

Możemy rozważyć scenariusz ataku, który próbuje przekonać niczego nieświadomą ofiarę do przekazania poufnych danych poprzez e-mail. Wiadomość jest skonstruowana w taki sposób, by ofiara miała wrażenie, że pochodzi np. od przełożonego, tzn. może zostać podpisana jego imieniem i nazwiskiem, zawierać firmową stopkę, czy nawet pochodzić z jego adresu. Dodatkowo do wiadomości może być dołączony PDF, który po otwarciu może zainfekować komputer. Złośliwe oprogramowanie uruchomione przez pracownika pozwala włamywaczowi na dostęp do sieci firmowej i przekazuje mu dane, na których mu zależy.

Posty, komentarze i video mogą być przekształcone programami typu adware i spyware lub zawierać złośliwy skrypt. Bez wzmocnionych środków bezpieczeństwa i stałych wysiłków, by zachować integralność wyświetlanej treści, strony, grupy i profile mogą zostać podrobione lub porwane (przy wykorzystaniu złośliwego oprogramowania atakujący może przejąć kontrolę nad przeglądarką i mieć wpływ na to, co będzie wyświetlane na ekranie ofiary).
Podrobione aplikacje mogą automatycznie publikować posty na profilach znajomych w celu oszukania tak wielu ludzi jak się da i nakłonienia ich do kliknięcia w link. Wszystkie automatycznie publikowane wpisy i posty są skonstruowane w taki sposób, by przyciągać uwagę oraz zachęcić użytkowników do działania (kliknięcia znacznika, kliknięcia, otworzenia linku). Dzięki temu jednemu kliknięciu użytkownicy mogą zalać profile sobie i swoim znajomym automatycznymi wiadomościami.

Ale jak się to dzieje, że nie wiemy o tym, że właśnie dołączyliśmy do grona oszukanych użytkowników? Techniki pomagające w oszustwach wykorzystują jego poszczególne funkcje:

• Likejacking – to rodzaj ataku phishingowego, gdzie ofiara nieświadomie klika „Lubię to!” strony na Facebooku. Po kliknięciu w link, który jest reklamowany, jako szokujące lub skandaliczne treści video, pokrzywdzony odkryje, że wiadomość została automatycznie umieszczona na jej wall’u i oznaczona, jako „Lubię to!”. Dzieje się tak, dlatego, że java script umieszcza pod przyciskiem play to odnośnik do „polubienia”. W ten sposób szybko można stworzyć tzw. „farmę lajków”, tzn. FanPage przygotowany do sprzedaży dla firmy lub osoby prywatnej, która chce założyć własny profil na Facebooku, ale nie chce zaczynać od zera.
• Tagjacking – to technika opierająca się na funkcji tagowania swoich znajomych na zdjęciach lub w postach. Każdy oznaczony otrzymuje powiadomienie o tym, że został umieszczony na zdjęciu… razem ze wszystkimi swoimi znajomymi. Technika ta rozprzestrzenia się wirusowo, ponieważ informacja pojawi się na wszystkich profilach jednocześnie wykorzystywana ona jest w celu uporczywego reklamowania, lub nakłonienia użytkownika do kliknięcia w link w opisie.
• Eventjacking – to oszustwo polega na stworzeniu fałszywego wydarzenia, które ma na celu nakłonić użytkowników do klikania i szerzenia złośliwych aplikacji. Na przykład, jeśli zostaniemy zaproszeni do wydarzenia, które nazywa się „Oficjalne uruchomienie aplikacji „Kto widział Twój profil?”. Każdy biorący udział w wydarzeniu ma możliwość skorzystania z aplikacji jeszcze przed jej premierą.

We wszystkich przypadkach omówionych do tej pory atakujący ukrywają złośliwe elementy „pod przykrywką” tych działających i mogą one zagrażać bezpieczeństwu naszych danych na różne sposoby: poprzez przekierowanie na strony phishingowe, instalację złośliwego oprogramowania lub wtyczek śledzących nasze zachowania w Internecie (łącznie z danymi poświadczającymi).

Biorąc pod uwagę charakter analizowanych zagrożeń, można bezpiecznie stwierdzić, że większość ataków działa wg mechanizmów wirusowych. Ilekroć na Facebooku pojawi się nowa funkcjonalność może ona zostać wykorzystana do cyberataku, atakujący są niezwykle kreatywni pod względem ich wykorzystania.