Фішинг-кампанія через WhatsApp

Нещодавно на користувачів відомого додатка обміну повідомленнями WhatsApp націлена фішинг-кампанія, метою якої є визначення ці підписатися на різні послуги, що стягуються за допомогою SMS, встановити шкідливе програмне забезпечення на мобільний пристрій або замовити певні «чудодійні» продукти, щоб схуднути за рекорд.

влітку лікар

Початкове повідомлення, яке отримують користувачі, таке:

". WhatApp коштуватиме 0,01 дол. США за кожне надіслане повідомлення. Ви повинні підтвердити свій профіль, щоб надалі використовувати його БЕЗКОШТОВНО! Активуйте свій профіль тут http://whatapp.us/Activate/Romania/ ”

Як бачите, текст написаний румунською мовою та містить діакритичні знаки, а це означає, що ця кампанія була адаптована для залучення користувачів у Румунії. Однак є достатньо елементів, які повинні допомогти користувачам усвідомити, що повідомлення є містифікацією і не повинно отримувати доступ до вказаної URL-адреси, наприклад:

  • Справжнє ім'я програми - Whatsapp (не WhatApp);
  • Посилання містить домен "whatapp.us", тоді як справжній веб-домен - "whatsapp.com";
  • Повідомлення надсилається із звичайного телефонного номера (можливо, навіть із номера, збереженого в каталозі контактів).

Якщо здійснюється доступ до вищезазначеної URL-адреси, користувач перенаправляється на іншу веб-сторінку, що містить подібне повідомлення, нову URL-адресу, що містить атрибут "voluumdata", значення якого є рядком Base64 форми ( залежить від пристрою та браузера):

Розшифровка текстової частини Base64 показує, що насправді це набір параметрів з певними значеннями, які, швидше за все, представляють серію ідентифікаційних даних, пов’язаних з кампанією (ідентифікатор кампанії) та потенційних жертв (ідентифікатор жертви, пристрій, браузер тощо)

Далі, доступ до кнопки "Почати перевірку" веде до нової веб-сторінки з інструкціями із URL-адресою http://whatapp.us/Activati/ro/ro2.html.

Як видно з попереднього зображення, на цій сторінці користувачеві пропонується дотримуватися набору інструкцій, що передбачає доступ до наступних двох кнопок:

  • "Контакти" - при доступі програма WhatsApp автоматично відкривається в меню для вибору контактів, яким потрібно надіслати повідомлення. В основному, якщо дотримуватися інструкцій, користувач надішле фішинг-повідомлення іншим користувачам у телефонній книзі (той самий механізм, за допомогою якого було отримано повідомлення);
  • "Підтвердження" - під час доступу, залежно від певних параметрів, користувач спрямовується на різні типи веб-сторінок, що рекламують: підписка на послуги, що стягуються за допомогою SMS, покупка продуктів для схуднення, завантаження підроблених оновлень програм, участь у анкетах з підроблені призи (користувачів закликають надсилати особисті дані та надсилати платні SMS) тощо.

Приклади кампаній, на які націлені користувачі, можна знайти на малюнках нижче: