Nie wierzcie w sensacyjne fotki

Od wtorkowego wieczora blokujemy na CyberTarczy niemal hurtowo phishingowe domeny z słowami fotki/zdjęcia, w rozlicznych konfiguracjach. Nazwy domen sugerują, że mamy do czynienia z kampaniami phishingowymi na „wyciek prywatnych zdjęć”, choć szybka analiza treści na docelowych stronach dowodzi, że przestępcy administrują witrynami na bieżąco.

Standardowa aktywność dla tego typu witryn zaczyna się od wiadomości takich, jak poniższa:

W kolejnym kroku, odruchowo klikając w link, widzimy stronę do złudzenia przypominającą logowanie do Facebooka:

Oczywiście jak można się domyślać strona nie ma nic wspólnego ze społecznościowym serwisem, wystarczy spojrzeć na pasek adresu, by zobaczyć, że – akurat w tym przypadku – brzmi hxxp://ukradzionefotki.eu. W efekcie w następnym kroku tracimy kontrolę nad naszym kontem Facebookowym, które może zostać wykorzystane np. do oszustw finansowych lub uwiarygodnienia konta przestępcy.

Co ciekawe, nie wszystkie z analizowanych stron udawały FB. Spora część była już następnego dnia niedostępna, część przekierowywała na witrynę dostawcy usług hostingowych, a jedna…:

…by zapewne w kolejnym kroku zasugerować nam podzielenie się tą jakże ciekawą informacją za pośrednictwem „Facebooka”.

Uważajcie na strony ze słowami „fotki/fotka”, czy „zdjęcia” w nazwie. Przede wszystkim zwracajcie uwagę na domenę .eu, w której rejestrowana jest większość analizowanych przez nas domen. Oczywiście standardowo wszystko co tylko wpadnie wrzucamy na #CyberTarcza, ale nie każdy ma możliwość korzystania z usług Orange Polska.

Bądźcie ostrożni, nie wierzcie sensacyjnym tytułom.