Phishingová kampaň cez WhatsApp

Na používateľov známej aplikácie na odosielanie správ WhatsApp sa v poslednej dobe zameriava phishingová kampaň, ktorej účelom je zistiť títo predplaťte si rôzne služby spoplatnené prostredníctvom SMS, nainštalujte si do mobilného zariadenia malware alebo si objednajte určité „zázračné“ produkty na chudnutie v rekordnom čase.

whatsapp

Počiatočná správa, ktorú používatelia dostanú, je nasledovná:

„. WhatApp bude stáť 0,01 USD za každú odoslanú správu. Ak chcete svoj profil naďalej používať ZDARMA, musíte potvrdiť svoj profil! Aktivujte si svoj profil tu http://whatapp.us/Activate/Romania/ ”

Ako vidíte, text je v rumunčine a obsahuje diakritiku, čo znamená, že táto kampaň bola upravená tak, aby prilákala používateľov v Rumunsku. Existuje však dostatok prvkov, ktoré by mali používateľom pomôcť uvedomiť si, že správa je podvod, a nemali by mať prístup k poskytnutej adrese URL, napríklad:

  • Skutočný názov aplikácie je Whatsapp (nie WhatApp);
  • Odkaz obsahuje doménu „whatapp.us“, zatiaľ čo skutočná webová doména je „whatsapp.com“;
  • Správa sa odosiela z bežného telefónneho čísla (možno aj z čísla uloženého v adresári kontaktov).

V prípade prístupu na vyššie uvedenú adresu URL je používateľ presmerovaný na inú webovú stránku obsahujúcu podobnú správu, nová adresa URL obsahujúca atribút s názvom „voluumdata“, ktorej hodnota je reťazec Base64 formulára ( líši sa podľa zariadenia a prehliadača):

Dekódovanie textovej časti Base64 ukazuje, že v skutočnosti ide o sériu parametrov s určitými hodnotami, ktoré s najväčšou pravdepodobnosťou predstavujú sériu identifikačných údajov týkajúcich sa kampane (ID kampane) a potenciálnych obetí (ID obete, zariadenie, prehliadač) atď.)

Ďalej prístup na tlačidlo „Spustiť overenie“ vedie na novú webovú stránku s pokynmi s adresou URL http://whatapp.us/Activati/ro/ro2.html.

Ako je vidieť na predchádzajúcom obrázku, na tejto stránke sa používateľovi odporúča, aby postupoval podľa pokynov, ktoré zahŕňajú prístup k nasledujúcim dvom tlačidlám:

  • „Kontakty“ - pri prístupe sa automaticky otvorí aplikácia WhatsApp v ponuke pre výber kontaktov, ktorým sa má poslať správa. V zásade, ak sú dodržané pokyny, užívateľ odošle phishingovú správu ostatným používateľom v telefónnom zozname (rovnaký mechanizmus, cez ktorý bola správa prijatá);
  • „Potvrdenie“ - pri prístupe je používateľ v závislosti na určitých parametroch presmerovaný na rôzne typy webových stránok, ktoré propagujú: predplatné služieb spoplatňovaných prostredníctvom SMS, nákup produktov na chudnutie, sťahovanie falošných aktualizácií aplikácií, účasť na dotazníkoch s falošné ceny (používatelia sú vyzvaní k zaslaniu osobných údajov a zaslaniu platenej SMS) atď.

Príklady kampaní, na ktoré používatelia zacieľujú, nájdete na obrázkoch nižšie: