Kolejny niedzielny wieczór – przyjeżdżam do Moskwy i naturalnie loguję się do Facebooka, żeby poinformować wszystkich, jak minęła mi podróż. Brzmi niezbyt ekscytująco, prawda? Wprost przeciwnie. Kolega „przesłał” mi dziwnie wyglądający odsyłacz rozprzestrzeniany przez nowego aktywnego robaka wykorzystującego Facebooka. Robak kradł dane logowania – jak dotąd zdołał okraść tysiące osób.

Szkodnik rozprzestrzenia się za pośrednictwem komunikatora na Facebooku – podobnie jak wiele innych robaków wykorzystujących ten portal. Wiadomość zawiera tekst „Czy to ty?”, a poniżej znajduje się odsyłacz do zainfekowanej aplikacji dla Facebooka. Aplikacja jest dość prosta; ładuje nową zawartość do ramki iframe. Strona ładowana do ramki iframe jest prostą stroną phishingową, która prosi o podanie danych uwierzytelniających do Facebooka, aby użytkownik mógł zobaczyć nową treść. Poniżej zrzut ekranu strony logowania:

Postanowiłem zbadać dokładniej tę stronę phishingową, sprawdziłem więc, czy istnieją typowe foldery na serwerze - foldery mogące zwierać więcej informacji o tym robaku – i znalazłem folder zawierający dzienniki dostępu do Apache. Podczas analizowania zawartości pliku dziennika odkryłem, że ktoś próbował uzyskać dostęp do pliku o nazwie acc.txt. Pobrałem acc.txt i odkryłem, że plik zawiera skradzione konta: w pierwszej wersji acc.txt, jaką pobrałem, zobaczyłem, że osoba atakująca przechwyciła ponad 3000 kont! Zacząłem pobierać acc.txt w 5-minutowych odstępach i w ciągu 20 minut liczba skradzionych kont zwiększyła się z 3000 do ponad 6000.

Natychmiast skontaktowałem się ze specjalistami ds. bezpieczeństwa Facebooka, którzy zareagowali równie szybko i zainfekowana strona została zdjęta.

Był to bardzo prosty atak phishingowy, a mimo to jego ofiarą padły tysiące osób!!! Podejrzewam, że podobne ataki mają miejsce nawet w momencie, gdy tworzę ten wpis.

Dlatego... gdy jesteś zalogowany na Facebooku, NIE ufaj niczemu, co wysyłają ci inni, zwłaszcza gdy ktoś żąda od ciebie hasła lub informacji dotyczących karty kredytowej.