Користувачі WhatsApp знаходяться в зоні ризику

whatsapp

знаходяться

CERT-RO (Національний центр реагування на випадки кібербезпеки) попереджає користувачів WhatsApp у заяві, опублікованій на офіційному веб-сайті в середу, про те, що через безкоштовну програму обміну повідомленнями розпочато кампанію phishig.

Нещодавно на користувачів відомої програми обміну повідомленнями WhatsApp націлена фішинг-кампанія, спрямована на те, щоб вони підписалися на різні послуги, що стягуються за допомогою SMS, встановили шкідливе програмне забезпечення на свій мобільний пристрій або замовили певні «чудодійні» продукти. схуднути за рекордні терміни.

Початкове повідомлення, яке отримують користувачі, таке:

". WhatApp коштуватиме 0,01 дол. США за кожне надіслане повідомлення. Ви повинні підтвердити свій профіль, щоб надалі використовувати його БЕЗКОШТОВНО! Активуйте свій профіль тут http://whatapp.us/Activate/Romania/ ”

Як бачите, текст написаний румунською мовою та містить діакритичні знаки, а це означає, що ця кампанія була адаптована для залучення користувачів у Румунії. Однак є достатньо елементів, які повинні допомогти користувачам усвідомити, що повідомлення є містифікацією і не повинно отримувати доступ до вказаної URL-адреси, наприклад:

»Справжнє ім’я програми - Whatsapp (не WhatApp);
»Посилання містить домен" whatapp.us ", тоді як справжній веб-домен -" whatsapp.com ";
»Повідомлення надсилається зі звичайного телефонного номера (можливо, навіть із номера, збереженого в каталозі контактів).

зоні

Якщо здійснюється доступ до вищезазначеної URL-адреси, користувач переспрямовується на іншу веб-сторінку, що містить подібне повідомлення, нову URL-адресу, що містить атрибут "voluumdata", значення якого є рядком Base64 форми ( залежить від пристрою та браузера):

ризику

Розшифровка текстової частини Base64 показує, що насправді це набір параметрів з певними значеннями, які, швидше за все, представляють серію ідентифікаційних даних, пов’язаних з кампанією (ідентифікатор кампанії) та потенційних жертв (ідентифікатор жертви, пристрій, браузер тощо)

Далі, доступ до кнопки "Почати перевірку" веде до нової веб-сторінки з інструкціями із URL-адресою http://whatapp.us/Activati/ro/ro2.html.

whatsapp

Як видно з попереднього зображення, на цій сторінці користувачеві пропонується дотримуватися набору інструкцій, що передбачає доступ до наступних двох кнопок:

»« Контакти »- при доступі програма WhatsApp автоматично відкривається в меню вибору контактів, яким потрібно надіслати повідомлення. В основному, якщо дотримуватися інструкцій, користувач надішле фішинг-повідомлення іншим користувачам у телефонній книзі (той самий механізм, за допомогою якого було отримано повідомлення);

»« Підтвердження »- під час доступу, залежно від певних параметрів, користувач спрямовується на різні типи веб-сторінок, що рекламують: підписка на послуги, що стягуються за допомогою SMS, покупка продуктів для схуднення, завантаження підроблених оновлень програм, участь у анкетах з підробленими призами (користувачів закликають надсилати особисті дані та надсилати платні SMS) тощо.

Приклади кампаній, на які націлені користувачі, можна знайти на зображеннях у наступному посиланні.