“Tak się bawią 18-latki na domówkach”, czyli “szokujące wiadomości” na Facebooku powracają

Naszym rodzimym scamerom, których działania opisywaliśmy pod koniec kwietnia, chyba skończyła się kasa z subskrybcji SMS-owej, bo od 2 dni przez polskiego Facebooka przetacza się kolejna fala “szokujących wiadomości”. A może to już kolejna grupa, która wchodzi w proceder zarabiania na tzw. subskybcjach SMS MT.

http://niebezpiecznik.pl/post/tak-sie-bawia-18-latki-na-domowkach-czyli-szokujace-wiadomosci-na-facebooku-powracaja/?similarpost=TOP10

Naszym rodzimym scamerom, których działania opisywaliśmy pod koniec kwietnia, chyba skończyła się kasa z subskrybcji SMS-owej, bo od 2 dni przez polskiego Facebooka przetacza się kolejna fala “szokujących wiadomości”. A może to już kolejna grupa, która wchodzi w proceder zarabiania na tzw. subskybcjach SMS MT.

Na czym polega przekręt?

Podobnie jak ostatnio, fałszywe newsy, tym razem zatutułowane jako “Tak się bawią 18-latki na domówkach” i okraszone pikantnym zdjęciem, pojawiają się na profilach “zainfekowanych” osób:

Przykład wiadomości, którą nieświadomie publikują na swoich tablicach ofiary scamu

Przykład wiadomości, którą nieświadomie publikują na swoich tablicach ofiary scamu

Kliknięcie na newsie prowadzi do fałszywego serwisu informacyjnego prezentującego nagranie wideo, które w rzeczywistości nie jest “filmikiem”, a apletem Flash służącym do “wyłudzania” numerów telefonów komórkowych:

Fałszywy filmik, będący w rzeczywistości sposobem na wyłudzenie numeru telefonu

Fałszywy filmik, będący w rzeczywistości sposobem na wyłudzenie numeru telefonu

Jeśli podacie numer, może Was to drogo kosztować. Scam polega na tym, że dostaniecie SMS z kodem “PIN” od serwisu Badabee prowadzonego przez Mobile Dialogue Sp. z o.o. (Warszawa, Aleja Niepodległości 18). Jeśli wpiszecie otrzymany PIN na stronie w kolejnym kroku, to zgadzacie się na regulamin serwisu, który mówi, że od tej porycodziennie będziecie płacili 2,46 PLN aż do momentu deaktywacji usługi (ponoć można to zrobić wysyłając SMS-a o treści STOP BD pod numer 60235.

423637_10150632227911821_24621558_n

Co ciekawe, scamerzy skorzystali z tego samego argumentu (“podaj by zweryfikować wiek“) przekonującego ofiarę do podawania danych, co my w naszym eksperymencie z phishingiem na Facebooku, którego wyniki opisaliśmy wczoraj.

Skąd biorą się wpisy na profilach Waszych znajomych?

Jak rozprzestrzenia się scam po Facebooku? Otóż zaraz po wejściu na stronę wiadomośći, scamerzy wyłudzają informację o mieście pod pretekstem konieczności “zaakceptowania” polityki Cookies (kolejny argument za tym, że to durne prawo wprowadza więcej złego niż dobrego ;)

Wyłuczanie nazwy miasta przez potwierdzenie "cookies" - widok bez ukrytej warstwy

Wyłudzanie nazwy miasta przez potwierdzenie “cookies” – widok bez ukrytej warstwy

W rzeczywistości jednak, pole, w którym wpisywane jest miasto, to podstawione, odpowiednio wyskalowany formularz dodawania komentarza na Facebooku (poniżej “zdemaskowany” bo oglądany z niezalogowanego użytkownika):

Wyłuczanie nazwy miasta przez potwierdzenie "cookies"

Wyłudzanie nazwy miasta przez potwierdzenie “cookies” – widok z ukrytą warstwą

…i tak powstają następujące wpisy na tablicach “ofiar”:

Przykład wiadomości, którą nieświadomie publikują na swoich tablicach ofiary scamu

Przykład wiadomości, którą nieświadomie publikują na swoich tablicach ofiary scamu

Prześlijcie swoim znajomym link do tego artykułu, niech wiedzą w co nie klikać.

Dane techniczne

Obecnie scamerzy wykorzystują domenę wLadomosci.pl, która łudząco przypomina “wiadomości”.pl (por ataki typosquattingu).


$ host wladomosci.pl
wladomosci.pl has address 188.165.19.140
wladomosci.pl mail is handled by 5 mx.vixer.pl.

Użyty panel VPS: http://gplhost.com/
Facebook API-Key: 237828736372773
Identyfikator GA: UA-44080225-2
Netsales ID: CD8674

Podobnie jak w poprzednich przypadkach, domena hostowana jest na OVH, a RevDNS dla adresu IP wskazuje na vixer.pl. Na tym samym serwerze utrzymywana jest także domena wiadomosci-fakty.pl, zachęcająca do “tworzenia własnych fikcyjnych artykułów”.

Co ciekawe, do “wrzucania” na tablice linków do “szokujących wiadomości” wykorzystywany jest ten plugin:

https://m.facebook.com/plugins/comments.php?api_key=237828736372773&channel_url=http%3A%2F%2Fstatic.ak.facebook.com%2Fconnect%2Fxd_arbiter.php%3Fversion%3D27%23cb%3Df70537314%26domain%3Dwww.wladomosci.pl%26origin%3Dhttp%253A%252F%252Fwww.wladomosci.pl%252Ffba0b0938%26relation%3Dparent.parent&fb_comment_id=fbc_572032949511279_6497359_575702742477633&href=http%3A%2F%2Fwww.wladomosci.pl%2Fid%2Fpijany-nastolatek-rozbija-sie-na-przystanku-cztery-osoby-zginely.php&locale=zh_CN&mobile=true&numposts=1&sdk=joey&width=300&_rdr

Locale zapewne zostały zmienione na chińskie, aby “zaciemnić” przed użytkownikiem to, że dodaje komentarz do Facebooka. (Wystarczy zmienić parametr locale na “en”, żeby plugin stał się bardziej zrozumiały).

PS. Podobnym oszustwem jest strona http://lokalizacja-telefonu.pl/ wmawiająca, że potrafi namierzać lokalizację numeru telefonów, kiedy tak naprawdę wyłudza numer telefonu i zapisuje jego właściciela do płatnej subskrybcji.

Kolejni oszuści, wyciągający numery telefonów pod pretekstem ich lokalizacji

Kolejni oszuści, wyciągający numery telefonów pod pretekstem ich lokalizacji