Campanie de tip phishing prin intermediul WhatsApp

2017/05/04
Popularitate 1383

Recent, utilizatorii bine-cunoscutei aplicații de mesagerie WhatsApp sunt vizați de o campanie de phishing al cărui scop este de a-i determina pe aceștia să se aboneze la diferite servicii taxate prin SMS, să instaleze malware pe dispozitivul mobil sau să comande anumite produse „minune” de slăbit în timp record.

Mesajul inițial care este primit de utilizatori este următorul:

„!!! Aplicația WhatApp va costa 0.01 $ pentru fiecare mesaj trimis. Trebuie să confirmați profilul pentru a continua să îl utilizați GRATUIT! Activați profilul dvs. aici http://whatapp.us/Activati/Romania/

După cum se observă, textul este în limba Română și conține diacritice, ceea ce înseamnă că această campanie a fost adaptată astfel încât să atragă utilizatorii din România. Cu toate acestea, există destule elemente care ar trebui să-i ajute pe utilizatori să-și dea seama că mesajul reprezintă o păcăleală și nu ar trebui să acceseze URL-ul indicat, precum:

  • Denumirea reală a aplicației este Whatsapp (nu WhatApp);
  • Link-ul conține domeniul „whatapp.us”, în timp ce domeniul web real este „whatsapp.com”;
  • Mesajul este trimis de la un număr de telefon obișnuit (posibil chiar de la un număr salvat în agenda de contacte).

Mesaj primit de către utilizatorii serviciului WhatsApp

 

În cazul în care se accesează URL-ul de mai sus, utilizatorul este redirecționat către o altă pagină web ce conține un mesaj similar, noul URL conținând un atribut denumit „voluumdata” a cărui valoare este un șir de caractere de tip Base64 de forma (variază în funcție de dispozitiv și browser):

http://whatapp.us/Activati/ro/ro.html?voluumdata=BASE64dmlkLi4wMDAwMDAwMS05Y2U1LTRjNjUtODAwMC0wMDAwMDAwMDAwMDBfX3ZwaWQuLmYxN

jNlODAwLTMwMjEtMTFlNy04OTk3LWIwNWU3YTI0ZWJhNF9fY2FpZC4uNDE5NmJmM2EtZWYxMi00YTdjLTlmZWUtMTR

kMDM3YTdjOTU5X19ydC4uSF9fbGlkLi45NWFhZjgyZC04MzcwLTQ5MDMtODIyMS05YmNhYjY1YTRjMjBfX29pZDEuLj

IyYjE1OTgzLTM0ZjYtNDQ1Yy05YTQ3LTMwZjE1NzE4YmYyOV9fcmQuLndoYXRhcHBcLlx1c19fYWlkLi5fX2FiLi5fX3NpZC

4uX19jcmkuLl9fcHViLi5fX2RpZC4uX19kaXQuLl9fcGlkLi5fX2l0Li5fX3Z0Li4xNDkzODMzMTU0MzMx

Utilizatorul este redirecționat

Prin decodarea porțiunii de text Base64 se observă că de fapt este vorba despre un șir de parametri cu anumite valori, care cel mai probabil reprezintă o serie de date de identificare aferente campaniei (ID campanie) și despre potențialele victime (ID victimă, dispozitiv, browser etc.):            

vid..00000003-8d30-4688-8000-000000000000__vpid..f163e800-3021-11e7-8499-f34f28aad6a1__caid..4196bf3a-ef12-4a7c-9fee-14d037a7c959__rt..HJ__lid..95aaf82d-8370-4903-8221-9bcab65a4c20__oid1..22b15983-34f6-445c-9a47-30f15718bf29__rd..__aid..__ab..__sid..__cri..__pub..__did..__dit..__pid..__it..__vt..1493832261001

În continuare, accesarea butonului „Începeți verificarea” conduce la o nouă pagină web cu instrucțiuni, având URL-ul http://whatapp.us/Activati/ro/ro2.html.

Verificare profil

După cum se observă și în imaginea precedentă, în această pagină utilizatorul este îndemnat să urmeze un set de instrucțiuni ce implică accesarea următoarelor două butoane:

  • „Contacte” – la accesare se deschide automat aplicația WhatsApp în meniul de selectare a contactelor către care urmează a se trimite un mesaj. Practic, dacă se urmăresc instrucțiunile, utilizatorul va trimite mesajul de phishing și către alți utilizatori din agenda telefonului (același mecanism prin care fost primit mesajul);
  • „Confirmare” – la accesare, în funcție de anumiți parametri, utilizatorul este direcționat către diferite tipuri de pagini web care promovează: abonarea la servicii taxate prin SMS, cumpărarea de produse de slăbit, descărcarea de false actualizări ale unor aplicații, participarea la chestionare cu premii false (utilizatorii sunt îndemnați să trimită datele personale și să trimită SMS-uri cu taxă) etc.

Exemple de campanii către care sunt direcționați utilizatorii se regăsesc în imaginile de mai jos:

Ex.1 Campanie phishing Ex.2 Campanie phishing

 

Ex.4 Campanie phishingEx.5 Campanie phishing

 

CERT-RO vă recomandă să:

  • Fiţi suspicios dacă primiţi un SMS sau un apel telefonic de la o companie care vă solicită informaţii personale. Puteţi verifica dacă mesajul/apelul este legitim prin apelarea directă a companiei la numărul lor oficial.
  • Atunci când navigaţi pe web de pe dispozitivul dvs. asiguraţi-vă că această conexiune este securizată prin HTTPS. Puteţi verifica întotdeauna acest lucru la începutul adresei URL. Ex: https://cert.ro
  • Nu faceţi niciodată clic pe un link/o anexă dintr-un e-mail sau SMS nesolicitat. Ştergeţi-l imediat!
  • Aveţi grijă dacă accesaţi o pagină web care conţine greşeli gramaticale, greşeli de ortografie sau cu rezoluţie mică.
  • Dacă este disponibilă, instalaţi o soluție antivirus. Astfel, în multe dintre cazuri vă va alerta cu privire la activităţi suspicioase.

 


Vizualizat de 14476 ori