Ochrona danych a serwisy społecznościowe

Przeczytaj także: Portale społecznościowe: bądź ostrożny

Zdaniem Macieja Ziarka innym zagrożeniem, które często przemilcza się, a na które narażony jest każdy użytkownik większych serwisów czy portali, nie tylko społecznościowych, jest phishing. Jest to wyrafinowana metoda wyciągania wszelkich informacji z komputera ofiary. Atakujący wysyła do ofiary maila z linkiem do zainfekowanej strony, gdzie użytkownik podaje dane dotyczące np. konta w banku lub proszony jest o pobranie pliku, który okazuje się być trojanem. Z pozoru metoda wydaje się prosta i pozbawiona sensu (bo kto podałby takie dane na życzenie nieznajomego), jednak sprawa staje się jasna, gdy przyjrzymy się takiemu mailowi. Z założenia wiadomość ma być łudząco podobna do maila, jaki mógłby zostać wysłany przez bank. Przynajmniej tak ma myśleć ofiara. W treści najczęściej proszeni jesteśmy o podanie nowego hasła lub autoryzację transakcji na konkretniej stronie. Jednak strona ta nie jest prawdziwą stroną banku lecz witryną spreparowaną przez cyberprzestępcę (adres tej strony to w powyższym przypadku http://host217-36-231-196.in-addr.btopenworld.com/aspnet_client/system_web/1_1_4322/XXXXXX.htm i nie trzeba być ekspertem, aby zauważyć, że nie jest to adres banku), by przechwycić podawane na niej informacje.

Ten sam mechanizm może zostać zastosowany w odniesieniu do serwisów społecznościowych. Użytkownicy mogą otrzymywać maile informujące, że w związku ze zmianami na portalu proszeni są o kontrolne zalogowanie się. Klikając link podany w liście, przechodzą na stronę łudząco podobną do prawdziwej. Dalej scenariusz powtarza się tak samo jak w przypadku banku.
Na taki problem ostatnio natrafiły dwa serwisy społecznościowe: nasza-klasa.pl oraz fotka.pl. Scenariusz działania był jednak trochę inny niż ten przedstawiony wyżej. Na konta mailowe masowo rozsyłano informację, że jakiś użytkownik napisał do nas wiadomość lub chce pokazać swoje zdjęcia. Autentyczności tej wiadomości miała dodać treść od użytkownika wraz z odnośnikiem do strony przypominającej oryginalną. Po przejściu na stronę podaną w liście na ekranie pojawiał się komunikat, że nie można wyświetlić treści strony z powodu braku odpowiedniej wersji programu Flash Player. Proponowano przy tym pobranie pliku o nazwie get_new_flashplayer.exe, który to miał zainstalować na naszej maszynie najnowszą wersję oprogramowania. Oczywiście nie był to Flash Player tylko backdoor: Backdoor.Win32.Agent.cri.

Jednakże, według Macieja Ziarka, kilka szczegółów pozwalało odróżnić te wiadomości od prawdziwych:

• w temacie wiadomości zabrakło polskiego znaku (uzytkownik, zamiast użytkownik);
• w większości maili rozsyłanych do internautów widniały obcojęzycznie brzmiące nazwy użytkowników, a początek wiadomości często pisany był w innym języku;
• link widniejący w wiadomości nie pokrywał się z adresem ładowanej strony;
• prawie wszystkie odnośniki na zainfekowanej stronie rozpoczynały pobieranie zainfekowanego pliku;
• w linkach występowały domeny inne niż polskie (pl).