Атаки в Facebook ежегодно приносят злоумышленникам $200 млн прибыли

Несколько дней назад la Repubblica ^[1] опубликовала информацию итальянских security-ресерчеров о спам-кампании в Facebook, которая развивалась очень стремительными темпами. За 70 часов более 500 тысяч пользователей было скомпрометировано переходами по вредоносным ссылкам, которые распространялись через встроенный в Facebook сервис сообщений. Злоумышленники использовали такой род фишинга, при котором пользователю отправлялось сообщение о том, что он был помечен (tagged) в записи другого пользователя. Ссылка ведет на сторонний сайт, веб-страница которого содержит видео. При попытке просмотра видео пользователю предлагается установить специальное расширение для браузера, которое злоумышленники маскируют под словом «плагин».

Расширение получает доступ к браузеру пользователя и может контролировать все его действия в нем. Подобный код называют вредоносным, так как под компрометацию попадают конфиденциальные данные пользователя, которые браузер уже содержит и все данные, которые пользователь будет вводить в формы веб-страницы при работе с системами онлайн-банкинга или иными сервисами. Расширения являются эффективным легитимным средством и могут служить заменой уже довольно обкатанной у злоумышленников системе поддельных форм и внедрения вспомогательного кода в процесс браузера. Это, в свою очередь, еще больше затрудняет выявление действий вредоносного кода «невооруженным глазом».

Подобная «удача» злоумышленников не является случайной. В атаке были использованы несколько приемов, которые привели их к большой выгоде.

• Социальный сервис с огромным количеством пользователей.
• Удачная тема фишинга как средство обратить на сообщение более пристальное внимание.
• Использование сервиса укороченных ссылок для сокрытия настоящего URL-назначения.
• Использование расширения браузера вместо drive-by download ^[2] вредоносного кода.
• Вредоносное расширение рассылает фишинговые ссылки контактам пользователя в социальной сети.

Согласно данным итальянских исследователей, которые специализируются в анализе спама, ежегодный доход злоумышленников от подобного рода атак в Facebook приносит прибыль $200 млн. Хакеры используют заранее подготовленные фразы или темы для фишинга и сервисы укороченных ссылок типа tinyurl.com / bit.ly для сокрытия истинного URL-адреса от глаз пользователя.

В подобную схему вовлекаются некоторые пользователи социальной сети — спамеры, которые получают денежную выгоду, в среднем, $13 за публикацию. Размер выплаты варьируется от количества подписчиков страницы, на которой спамер оставит свою ссылку. Для страницы с количеством подписчиков 30 тыс., спамер получит $13. В случае со страницей, которая имеет более 100 тыс. подписчиков сумма может быть $58. Иногда спамеры создают свою страницу для того, чтобы привлечь подписчиков. Далее, как только пользователей станет достаточное количество они могут опубликовать фишинговую ссылку.

В подобный бизнес могут быть вовлечены и иные люди, которые заинтересованы в финансовой выгоде и могут продать ту или иную страницу с очень большим количеством подписчиков злоумышленникам. Итальяснкие ресерчеры собрали статистику по страницам, которая показывает, что, в среднем, на анализируемых страницах публикуется 18 тыс. сообщений в день, выгода с каждого из них составляет от $13 до $58 в день. Получается цифра от $87 млн и $390 млн. в год.

http://www.theguardian.com/technology/2013/aug/28/facebook-spam-202-million-italian-research ^[3]

Автор: esetnod32

Источник ^[4]