Blog

Измами в интернет с “импулсни” телефони

Date June 1, 2017 Author By Category ИТ Сигурност

Свързването на света свързва едновременно двете страни – Светлата и Тъмната. Едната носи прогрес и съзидание, а другата – заплахи и щети. Казано директно, все повече хора в интернет ще се опитват да измамят други хора в интернет. И докато в България тенденцията е телефонните измамници да преобладават заради заможни възрастни и доверчиви хора, то има вероятност в близко бъдеще тази тенденция да бъде изместена. Като жертви на бъдещите телефонни, вече  виртуални измамници, ще бъдат все повече хора, които боравят с интернет, знаят английски и вероятно пазаруват онлайн. Причината този път няма да е подкуп или пострадал близък, а сигурността на техния компютър – документи, бизнес информация, счетоводство, снимки, музика, филми, емоции и труд. Тези измамници, обаче са от цял свят и въпреки, че таргетират предимно англоговорящите потребители, има наченки и за побългарени мошенничества – като имейлите от НАП и дори локализирана версия на популярната в момента заплаха WannaCry.

Вероятно всички са виждали мигащи и приканващи банери и прозорци за подобряване бързината на компютъра, оптимизации, дори и предупреждения, че компютърът ви е заразен. Сигурно много от вас дори са се възползвали от подобни бликащи от всякъде предложения и плашещи твърдения. Тенденцията е всички те да се усъвършенстват, да бъдат с още по-реалистични и с разнообразни психологически похвати. Но винаги ще има основни правила, реакция и детайли, по които човек може да се ориентира реално ли е наистина предложението или твърдението за опасност.

Основно правило за всички подобни предложения е да се изпитва съмнение и да се задават въпроси. Въпросите не са нови, те са обичайни – кой претендира да е отсреща, какво твърди, какво иска, колко е настоятелен (може би дори нахален?), как се е стигнало до това положение, редно ли е да се иска подобно нещо и странни ли са претенциите му.

Първоначална реакция при подобна заплаха

Пълно самообладание и запазване на спокойствие! Без паника, дори минутите да намаляват, времето да свършва, „опасността“ да е много настойчива и даже да не може да спре да мига и да се махне, както е в случая разгледан в тази статия.

Как се случва?

Подобно на телефонните измами, но без да звънят, а чрез:

  • имейли, дори на български, от НАП, от банката, от приятел или просто от „доброжелател“;
  • уеб сайтове, блогове, банер (и от мигащите), кликване (някъде), „неработещ“ видеоклип, PDF, документ, който „инсталира“ приставка, спайуеър, адуеър, онлайн игра, или „от детето“;
  • съобщение от Фейсбук, Скайп и др. съдържащо линк (ако е в имейл може да е прикачен файл, но почти винаги води до сайт), може от приятел и дори на български.

Какво целят?

Да следят, крадат, изнудват или просто да продадат ненужна услуга

Пример за подобен опит за манипулация

В този по-засукан от обикновените случаи попадаме на интересния „сайт“:

scam-site

Излиза съобщение за опасност на пръв поглед доста стряскащо. Използва страшни твърдения, които веднага би трявбало да будят съмнения. Прозорецът и съобщението не могат да бъдат затворени (дори със спирането на изкачащи прозорци) – странно, но за всичко има начини (б.а. в една от старите версии на Internet Explorer уеб сайтове можеха да отворят CD-ROM-а на компютъра). Освен това прозорецът (браузърът) сам се разпъва на цял екран, което на таблет сигурно би предизвикало допълнителна тревожност, заради изчезването на всичко останало от екрана и невъзможността да се затворят тези стряскащи екрани без рестартиране или принудително затваряне на браузъра.

Детайлите

Разглеждаме твърденията на този достоверно изглеждащ прозорец:

  • п0pн0 и злонамерен скрипт, установили са зараза на компютъра

Факт: Уеб сайт без да инсталира нещо допълнително (от благоразумие би било добре да е на известна антивирусна компания) няма как да разбере заразен ли е компютърът. Същото важи и за това дали е бавен :)

Страницата има лога на продукти и услуги на Microsoft и на пръв поглед изглежда нормално с леки трудно забележими грешки, но за опитен потребител би трябвало да будят съмнения, вкючително изкачащите прозорци и мигащите телефони.

Прави впечатление, че сайтът се намира в googleapis.com, което реално си е сайт на услуга на Google (Microsoft в Google?). Това може да е сериозна предпоставка дори опитен потребител да бъде объркан. Но всъщност макар и за кратко е възможно зложелателите просто да се възползват от подобни услуги на реномирани и реални компании, за да злоупотребяват и подмамват.

  • Показва Microsoft Warning Alert и грешка 0x80072ee7 – изглежда достоверно, проверка в Google показва, че има такава грешка в Microsoft Store. Което по принцип няма общо с Google, от където прозореца се показва чрез браузъра.

Факт: Прозорецът на браузъра не е системен прозорец на Windows или друга програма. Прозорците на браузъра се викат с JS команда в HMTL кода на сайта и нямат досег с операционната система. В тях може да се напише абсолютно всичко, като измамниците могат да „разберат“ единствено какъв браузър ползвате, каква операционна система, резолюция и евентуално местоположение“.

  • Обадете се незабавно, не игнорирайте това съобщение, дават цели 5 минути – дрън, дрън. Такива призиви е редно да бъдат давани единствено от близки и приятели. Няма банка, добронамерена фирма или институция, която да иска спешно да й се звъни.

Заплахите се увеличават:

  • Ще ни спрат достъпа ако затворим страницата. Това е много странно съобщение – ще ни спрат достъпа, ако затворим страницата и съответно не се обадим? Всъщност не заплахите, а настойчивостта се увеличава.

Факт: Единственото, което може да се случи, като затворите уеб страница е да ви попита дали наистина искате да я затворите и/или да си загубите въведената в нея информация. Нищо повече!

Твърдят, че ще ни откраднат данни:

  • финансови (от къде знаят за бизнеса?)
  • Facebook – Microsoft или Google да се вълнуват, че ще ви откраднат Facebook или „конкурентна“ парола? Няма начин!
  • кредитни карти – класика, това го има винаги, дори в реалните съобщения :)
  • имейл достъп – това също;
  • снимки – забравили са музика и документи.

„Затваряме“ прозореца с OK или Cancel – и излиза нов прозорец:

scam-dialog

Тук вече става още по-сериозно, заключиха системата, забраниха мърдането на мишка, намесиха WannaCry, очевидно са в крак с моментната тенденция.

Всички тези призиви и страшни работи, които ни съобщават вече трябва да са включили червената лампа на съмнението, но има още едно нещо, което много често издава тези опитващи се да ни заблудят хора – синтаксисът. В случая са пуснали проверка на правописа, но имат някои неточности – неточни интервали или липсата на такива, неправилна пунктуация. В подобни побългарени версии има и смислови грешки, или защото са използвали Google Translate, или защото преводачът им не е разбрал, какво искат да кажат.

Подобни грешки са необичайни за сериозни ИТ компании с екип от специалисти, лингвисти, редактори, качествен контрол и т.н. Съобщенията на сериозните компании са винаги изрядни, за да не стават обект на шеги.

  • Напрежението се засилва – сайтът „проговаря“ – страшни съобщения, мигащи телефони, говор четящ заплахите…

НеФакт: Сайтовете с внезапно пускащ се синтезиран говор и видео рекламират и искат настоятелно да продадат продукт или услуга. Това е прекалено необичайно за сериозни компании. Но започне ли говорът да чете заплахи, нахалството става прекалено и съответно трябва да се вземат мерки – или се напуска сайта (в случая единствено с Ctrl+Alt+F4), или се звъни.

За какво е всичко това?

Конкретно в този случай – за да звъннем на уж безплатния телефонен номер. Телефонът е импулсен, но любитството или страхът надделяват и отсреща вдига младеж, говорещ на английски с лек акцент на индийски, който се представя за външна компания обслужваща Microsoft (като родния вариант с полицая – няма как да се знае, но да приемем, че звучи достоверно :)).

Агентът не бърза, призовава да не затваряме, задава въпроси защо сме звъннали ако изпитваме съмнения и твърди, че имаме нужда от помощ. С голяма разправия буква по буква диктува сайтът https://support12345.com.

Факт: Всеки домейн може да бъде проверен от кого е регистриран, адрес, телефон и имейл, освен ако собственика изрично не ги е скрил или въвел фалшиви. Това става, като се направи т.нар. WHOIS на домейна предлаган от множество сайтове в интернет (https://whois.icann.org).

За support1234.com WHOIS показва:

Registrant Contact
Name: Registration Private
Organization: Domains By Proxy, LLC
Mailing Address: DomainsByProxy.com, Scottsdale Arizona 85260 US
Phone: +1.4806242599
Fax: +1.4806242598
Email:[email protected]

Това е скрит WHOIS, тъй като пише private, domainsbyproxy и др. подобни ориентири, които различните регистратори на домейни предоставят като услуга – т.нар. whois privacy.

Факт: Рядко, почти никога, сериозна компания би си крила данните за регистрацията на домейна от публиката.

Тъй като не бяхме добре подготвени, решихме да не стартираме инструмента за „дистанционна връзка“, с която операторът щеше да ни „избави“ от тази опасност.

Цялата около 8-минутна процедура по отваряне на сайта буква по буква и обяснения струваха около 16 лв.

В заключение

Измамите в интернет няма да намаляват, а антивирусните прогами само частично могат да спрат някои от тях. Всичко е в ръцете на потребителя, неговата грамотност и съмнение към всякакви опити за манупулации. Описаните подходи за манипулации са сходни и за останалите, т.нар. скам-ове, фишинги и пр. Подобни прозорци може да излизат и от „нищото“ или от разни програмки, съдържащи реклами в себе си, adware, spyware и т.н.

По-специфично за този случай е, че „сайтът“ използва сървър на Google за да изглежда достоверен. В повечето измамни сайтове, страниците изглеждат по идентичен начин на имитирания, но основният домейн е различен. Също така се споменава и актуалната и масово обявявана заплаха от крипитране с WannaCry. С повече спокойствие, наблюдателност, съобразителност несъответствията се откриват, като същевременно се спазват и основните правила за защита от реалния живот – никой служител на банка, компания или институция не би искал дистанционно предоставянето на финансови данни, кредитни карти, пинове, пароли и спешни телефонни повиквания. Желателно е използването и на антивирусни програми за по-сигурна защита.

Надяваме се, че статията ви е помогнала да се предпазите от тъмните сили и ако е така, може да я харесата и/или споделите :)

Повече за това по какъв начин стигаме до сайтове, които съдържат злонамерен код можете да прочетете тук: https://itdepartment.biz/epidemia-ot-ransomware-2016/

Благодарности за Михаил Красимиров за щедрото любопитство и предоставения казус :)

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.