Eksperci z G DATA SecurityLabs mają na co dzień do czynienia z cyberprzestępcami, ale zawsze pojawiają się jakieś sezonowe osobliwości. Szczególnym okresem jest wiosna, kiedy następuje wysyp podejrzanych ofert popularnych okularów przeciwsłonecznych. Informacje rozpowszechniane są za pośrednictwem spamu, mediów społecznościowych, a nawet SMS-ów. Nasi analitycy śledzą oszustów, wyjaśniają podstawowe informacje i dostarczają cennych wskazówek, jak uniknąć nieudanych zakupów.
O co chodzi?
Nasze aktualne dochodzenie zajmuje się podejrzanymi ofertami dwóch bardzo popularnych marek okularów przeciwsłonecznych Ray-Ban i Oakley. Wymienione marki są często wykorzystywane przez spamerów, a w sezonie „atrakcyjne” oferty wyrastają niczym grzyby po deszczu. W większości wypadków reklamy docierają do właścicieli komputerów kompletnie niezainteresowanych tymi produktami, czasami też spamerzy wykorzystują do rozsyłania informacji niczego nieświadomych użytkowników Facebooka. Spam od dawna spędza sen z powiek ekspertom od bezpieczeństwa IT. W przeszłości użytkownicy komputerów byli nękani wyłącznie niepożądanymi e-mailami, ale cyberprzestępcy odkryli nowe cyfrowe kanały. Przyjrzyjmy się zatem różnym kanałom, z których dotarły do nas reklamy okularów przeciwsłonecznych.
Klasyka: e-mail
Zgodnie z oczekiwaniami w przesyłanych wiadomościach, nie brakuje szerokiej gamy obietnic. W analizowanych e-mailach obiecano nam zniżki na okulary przeciwsłoneczne w przedziale 65% – 85%. Żaden z e-maili nie zawierał załącznika. Aczkolwiek wszystkie posiadały adresy do sklepów, w których można było rzekomo kupić reklamowane okulary.
Wybrane zrzuty ekranowe pokazują sporo różnic w projektowaniu HTML e-maili. Niektóre wyglądają bardzo profesjonalnie i rzeczywiście mogłyby reklamować znane marki. Inne są wyjątkowo nudne i powinny od razu wzbudzać wątpliwości.
Wszystkie mają jedną wspólną cechę – linki prowadzą do podejrzanych sklepów, których odwiedzenie wiąże się z dużym ryzykiem.
Web 2.0: Facebook linki.
Funkcja oznakowania (otagowania) znajomych na zdjęciach dostępna jest już od dłuższego czasu. Facebook obecnie umożliwia też oznakowanie (otagowanie) aktualizacji statusu. Spamerzy chętnie wykorzystują tę funkcję. Realizują ją przez zhakowane profile Facebooka lub stworzone specjalnie w tym celu lub ponownie wykorzystywane konta.
Przykład 1 – zaproszenie na imprezę
Oszuści wykorzystują profil, aby wykreować wydarzenie ze zdjęciami i informacjami o Ray-Ban. Najpierw zachęcają reklamą, a następnie zapraszają nieświadomych użytkowników do udziału w imprezie.
Jak widać na zrzutach ekranowych konto wygląda na nieaktywne przez dłuższy czas, chyba, że napastnicy usunęli celowo wszystkie posty z osi czasu, za wyjątkiem jednego z 2013 roku. W sumie na imprezę zaproszono 9,553 osób, a niektórzy rzeczywiście przyjęli propozycję.
Celem wydarzenia jest publikacja i rozpowszechnianie adresu URL jednego z podejrzanych sklepów. URL pojawia się na okrągło w pozycjach związanych z tym wydarzeniem, jak to ilustruje zrzut ekranowy ( po prawej stronie). Zdarzenie jako takie nie stanowi zagrożenia dla użytkowników Facebooka, ale ludzie stojący za tym procederem mogą promować potencjalnie niebezpieczne strony internetowe.
Użytkownicy, którzy zauważyli, że ich dobre imię zostało nadszarpnięte, szybko informują swoich znajomych i pozostaje mieć nadzieję, że nikt nie padnie ofiarą oszustwa.
Istnieje kilka sposobów rozpowszechniania informacji o wydarzeniach.
Użytkowników skłania się do wejścia na ciekawą i z pozoru niegroźną stronę, obiecując, że zobaczą coś niesamowicie interesującego – muszą tylko kliknąć w jakimś miejscu. Nad miejscem wskazanym użytkownikowi do kliknięcia zazwyczaj znajduje się niewidzialna pływająca ramka. Przechwytuje ona kliknięcie i kieruje zupełnie inny przycisk/link, co dla użytkownika kończy się nieświadomym dodaniem do swojego profilu jakiejś strony lub rozesłaniem wiadomości do wszystkich swoich znajomych. Kolejny sposób to tzw. „brudne” aplikacje. Czasami organizatorzy spotkania, żądają zainstalowania aplikacji, aby wziąć udział w wydarzeniu czy konkursie bardzo podobną metodą jest tzw. sharebaiting, reklamowane aplikacje wymagają od użytkownika portali społecznościowych, akceptacji wszelkich pozwoleń, co w rezultacie prowadzi do rozsyłania spamu wśród kolejnych użytkowników. Można to porównać do efektu śnieżnej kuli, która staje się coraz większa.
Przykład 2 – oznakowania na zdjęciach
Napastnicy włamują się do konta na Facebooku i w imieniu właściciela profilu rozsyłają natrętne obrazki reklamowe. Żeby zrealizować zadanie, oznaczają (otagowują) osoby na liście znajomych. To całkowicie zrozumiałe, bowiem polecenie od znajomego jest znacznie bardziej wiarygodne od tych przesyłanych przez nieznanych użytkowników. Spamerzy oznakowują tylko kilku przyjaciół, żeby nie być ujawnionym, a także zwiększyć autentyczność reklamy.
Kolorowe obrazki i bardzo niskie ceny mają przyciągać osoby oznakowane (otagowane) do odwiedzenia specyficznych stron internetowych i sklepów.
Reklama poprzez SMS-y i komunikatory
Latem 2014 roku Amerykanie doświadczyli niezwykłej fali spamu na modne okulary przeciwsłoneczne. Usługa iMessage firmy Apple była bombardowana przez spamerów, którzy używali do tego celu krótkich skryptów. Nadawca mógł bardzo szybko napisać kody na komputerze Mac do wysyłania wiadomości będącej przynętą. Przed wysłaniem informacji na numer telefonu lub adres poczty elektronicznej, usługa iMessage informowała czy odbiorca jest zarejestrowany w systemie. To znacznie zwiększyło skuteczność ataków.
Podejrzane sklepy
Wybór zrzutów ekranowych ze stron pokazuje, że są one do siebie bardzo podobne. Ludzie, którzy stoją za procederem oszustwa, wykorzystują często kopie oryginalnych stron, które są zintegrowane ze specjalnymi zestawami phishingowymi. Jedyną czynnością, którą należy wykonać, aby umieścić sfałszowany sklep w sieci, jest wprowadzenie danych docelowych do formularza.
Sfałszowane strony często wyglądają jak oryginalne, niemniej zawierają błędy językowe, wynikające z błędnego tłumaczenia. Niektóre witryny posiadają także certyfikaty autentyczności, ale są to elementy skopiowane z oryginalnych serwisów. Aby uzyskać więcej porad dotyczących identyfikacji tego typu stron zapraszamy do prześledzenia grafiki przedstawiającej bezpieczne zakupy online.
Kto stoi za tymi ofertami?
Za oszustwami nie stoją pojedyncze osoby lub organizacje. Przeanalizowaliśmy 24 z 40 aktywnych domen. Wszystkie zostały zarejestrowane przez chińskich rejestratorów domen, choć nazwy rejestratorów były różne, niektóre z nich pojawiały się po klika razy. 5 aktywnych domen jest przechowywanych na serwerach w Istambule, 2 na Florydzie i 17 w Kalifornii.
Natomiast 16 stron stało się przedmiotem dochodzenia prawnego, wszczętego przez włoską firmę Luxottica.
Kim jest Luxottica
Założona w 1961 roku firma jest największym podmiotem specjalizującym się w kreowaniu okularów przeciwsłonecznych i oprawek do szkieł korekcyjnych dla segmentów luksus, premium i sport. Luxottica jest właścicielem marek premium Ray-Ban, Oakley, Vogue oraz luksusowej Persol.
Oszuści najczęściej biorą na cel markę Ray-Ban. Wcześniej należała ona do amerykańskiego producenta Bausch&Lomb i sygnowała swoją nazwą okulary przeciwsłoneczne wytwarzane dla żołnierzy z USA, doskonale znane chociażby z filmu Top Gun. Od 1999 roku Ray-Ban jest własnością firmy Luxottica. Produkt stał się prawdziwym bestsellerem na rynku amerykańskim, gdzie kosztuje 150 dolarów. Co ciekawe, jest to dwudziestokrotność kosztów produkcji. Dla porównania pod koniec ubiegłego stulecia okulary były sprzedawane za około 30 dolarów.
Dlatego trudno się dziwić, że cyberprzestępcy podłączają się pod kwitnący biznes, ukierunkowany na dostawców modnych okularów.
Czy podejrzane sklepy przyciągają ofiary wyłącznie modnymi okularami?
Oczywiście, że nie. Oszuści swoje działania opierają na innych markach i branżach, oferując w atrakcyjnych cenach torebki znanych projektantów, luksusowe zegarki, najnowszy sprzęt sportowy i co nie mniej ważne leki.
Czym zagrożeni są Internauci?
Efekty działań cyberprzestępców mogą być bardzo różne, podobnie jak stosowane przez nich oszustwa.
– Podejrzane sklepy mogą być tworzone dla celów phishingu. Napastnicy mogą wykorzystać dane oszukanych internautów do rozmaitych przestępstw (zakupy przy wykorzystaniu danych przechwyconych z karty, sprzedaż danych na czarnym rynku, kradzież tożsamości).
– Niezależnie od tego jak skradzione dane zostają wykorzystane, istnieje bardzo duże ryzyko, że pieniądze nie wrócą do właściciela. W przypadku płatności karą kredytową, część operatorów stosuje mechanizmy zabezpieczające nabywców. Niektóre sklepy, które analizowaliśmy, pobierają opłatę za anulowanie rezerwacji w wysokości 30 % wartości zamówienia. Nie dotyczy to jednak przypadków, kiedy towary zostały już wysłane.
– Jeśli podejrzany sklep rzeczywiście posiada w swojej ofercie okulary w atrakcyjnej cenie, istnieje duże prawdopodobieństwo, że są one podrabiane lub kradzione i mogą nawet zagrażać zdrowiu. Nasze badania wykazały, że istnieje bardzo wiele przypadków, w których okulary nie posiadały ochrony przez szkodliwymi promieniami UV. Naukowcy przyznają, że jest to bardziej szkodliwe dla oka niż brak okularów przeciwsłonecznych.
– Strony mogą być także specjalnie przygotowane pod kątem technicznych ataków, mających na celu zainstalowanie na komputerze nieświadomego użytkowniku szkodliwych aplikacji malware. Tego typu zdarzenie nie miało miejsca w analizowanych przypadkach, aczkolwiek jest możliwe.
Co mogą zrobić użytkownicy, aby uchronić się przed oszustami
– Używaj kompleksowych rozwiązań zabezpieczających przed malwarem i phishingiem. Rozwiązanie powinno być także wyposażone w dobry, antyspamowy filter.
– Instaluj uaktualnienia dla systemów operacyjnych, oprogramowania i innych komponentów, natychmiast po ich publikacji. To pozwala załatać luki w systemie.
– Bądź wyjątkowo ostrożny w przypadku e-maili zawierających obietnice tak dobre, że aż niemożliwe. Nie można odpowiadać na tego typu wiadomości i odwiedzać strony, które promują.
– Pamiętaj o poradach G Data dotyczących bezpiecznych zakupów online , a także pomyśl o zakupie produktu bezpośrednio u lokalnego sprzedawcy.
Portale społecznościowe
Regularnie czyść historię przeglądania i pliki cookie, aby maksymalnie utrudnić śledzenie i przekierowywanie.
– Sprawdzaj czy utworzone zakładki na mediach społecznościowych wciąż prowadzą do oryginalnych źródeł.
– Nie akceptuj z automatu każdego zaproszenia od przyjaciół, to pomoże uniknąć niepotrzebnego spamu
– Jeśli zauważysz, że coś niepokojącego dzieje się z Twoim profilem lub rozpowszechnia spam, zmień hasło dostępu
– Usuń wszystkie niepożądane oznakowania na Facebooku ze zdjęć oraz komentarzy
– Sprawdzaj zawsze czy jesteś oznakowany (otagowany) przez innych
– wyłącz propozycje automatycznego znakowania (tagowania)
– Ogranicz widoczność znaczników
– Usuń niepożądane posty zamieszczane przez inne osoby na osi czasu. Określ, kto może zamieszczać informacje na Twojej osi czasu.
– Sprawdź zainstalowane aplikacje oraz ich status.
– Usuń podejrzane i niepożądane aplikacje