Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kolejna szkodliwa aplikacja dla Facebooka: "Father crashes and dies"

Stefan Tanase
Kaspersky Lab Expert
Dodany 22 marca 2011, 09:35 CET

W weekend wielu użytkowników Facebooka zaczęło otrzymywać od swoich znajomych szkodliwe wiadomości za pośrednictwem czata, które wyglądały następująco:

Za tekstem “Father crashes and dies because of THIS message posted on his daughters profile wall!” znajduje się skrócony adres URL (przy pomocy serwisu bit.ly). Brakujący apostrof w słowie "daughter's" może być wskazówką, że wiadomość jest fałszywa lub przynajmniej, że jej autor nie jest rodzimym użytkownikiem języka angielskiego. Zastanówmy się jednak, co by się stało, gdyby użytkownik dał się nabrać na ten trik socjotechniczny.

Po kliknięciu odsyłacz prowadzi użytkownika przez serię przekierowań. W efekcie na ekranie pojawia się szkodliwa aplikacja dla Facebooka żądająca kilku zezwoleń.

Jak widać, bardzo łatwo domyślić się, że aplikacja jest szkodliwa: wygląda na to, że aplikacja ma losową nazwę aplikacja żąda jedynie dostępu do “podstawowych informacji” użytkownika (tzn. listy znajomych) oraz do facebookowego czata (tak naprawdę, aby rozprzestrzeniać się jak robak)

Ale co właściwie robi ta aplikacja? Zobaczmy, co się stanie, jeśli użytkownik zezwoli jej na uzyskanie dostępu do swojego profilu. Po pierwsze, aplikacja zacznie rozprzestrzeniać się za pośrednictwem jego profilu na Facebooku poprzez wysyłanie wiadomości na czacie (zobacz zrzut ekranu wyżej) do znajomych, którzy w tym czasie są online. Tymczasem użytkownik zobaczy następującą stronę, która za pośrednictwem socjotechniki próbuje nakłonić go do rozwiązania quizu.

Osoby atakujące wykorzystują usługi geolokalizacji adresu IP oraz automatycznego tłumaczenia, aby idealnie dostosować swoją strategię socjotechniczną do potencjalnej ofiary, tym samym zapewniając maksymalną skuteczność swoich ataków, między innymi poprzez wykorzystywanie tego samego języka co ofiara.

Pozostaje pytanie: w jaki sposób stojący za tym atakiem cyberprzestępcy zarabiają na naiwnych użytkownikach? Po zakończeniu quizu użytkownik jest proszony o wysłanie wiadomości SMS na numer krajowy w celu uzyskania wyników. Średni koszt takiej wiadomości wynosi około 3 euro.

Na koniec przyjrzyjmy się, kim są ofiary. Poniższy wykres pochodzi ze strony serwisu bit.ly zawierającej statystyki dla głównego adresu URL opisywanego ataku:

10 państw najbardziej dotkniętych tym zagrożeniem:
Ukraina (UA) – 24,22%
Indie ( IN) – 16,22%
Stany Zjednoczone ( US ) – 13,03%
Federacja Rosyjska ( RU ) – 12,76%
Białoruś ( BY ) – 8,32%
Dominikana ( DO ) – 5,89%
Pilipiny ( PH ) – 3,14%
Sri Lanka ( LK ) – 1,78%
Meksyk ( MX ) – 1,73%
Australia ( AU ) – 1,35%

Powiadomiliśmy wszystkie strony, które mogą pomóc w ograniczeniu szkód związanych z działaniem tej aplikacji, a więc portal Facebook w celu usunięcia szkodliwych aplikacji oraz bit.ly w celu usunięcia przekierowań poprzez krótkie adresy URL.