Фишинг кампания чрез WhatsApp

Напоследък потребителите на добре познатото приложение за съобщения WhatsApp са насочени към фишинг кампания, чиято цел е да определи тези абонирайте се за различни услуги, таксувани чрез SMS, инсталирайте злонамерен софтуер на мобилното си устройство или поръчайте определени „чудо“ продукти, за да отслабнете за рекордно време.

whatsapp

Първоначалното съобщение, получено от потребителите, е както следва:

". Приложението WhatApp ще струва $ 0,01 за всяко изпратено съобщение. Трябва да потвърдите своя профил, за да продължите да го използвате БЕЗПЛАТНО! Активирайте профила си тук http://whatapp.us/Activate/Romania/ ”

Както можете да видите, текстът е на румънски и съдържа диакритици, което означава, че тази кампания е адаптирана за привличане на потребители в Румъния. Има обаче достатъчно елементи, които трябва да помогнат на потребителите да разберат, че съобщението е измама и не трябва да имат достъп до предоставения URL адрес, като например:

  • Истинското име на приложението е Whatsapp (не WhatApp);
  • Връзката съдържа домейна "whatapp.us", докато истинският уеб домейн е "whatsapp.com";
  • Съобщението се изпраща от обикновен телефонен номер (вероятно дори от номер, запазен в директорията с контакти).

Ако се осъществи достъп до горния URL адрес, потребителят се пренасочва към друга уеб страница, съдържаща подобно съобщение, новият URL адрес, съдържащ атрибут, наречен "voluumdata", чиято стойност е низ от Base64 на формуляра ( варира в зависимост от устройството и браузъра):

Декодирането на текстовата част на Base64 показва, че всъщност това е набор от параметри с определени стойности, които най-вероятно представляват серия от свързани с кампанията идентификационни данни (идентификатор на кампанията) и потенциални жертви (идентификатор на жертва, устройство, браузър и т.н.)

След това достъпът до бутона „Стартиране на проверката“ води до нова уеб страница с инструкции, с URL адрес http://whatapp.us/Activati/ro/ro2.html.

Както се вижда на предишното изображение, на тази страница потребителят се насърчава да следва набор от инструкции, които включват достъп до следните два бутона:

  • „Контакти“ - при достъп до приложението WhatsApp се отваря автоматично в менюто за избор на контакти, на които да се изпрати съобщение. По принцип, ако се спазват инструкциите, потребителят ще изпрати фишинг съобщението до други потребители в телефонния указател (същия механизъм, чрез който е получено съобщението);
  • „Потвърждение“ - при достъп, в зависимост от определени параметри, потребителят се насочва към различни видове уеб страници, които популяризират: абониране за услуги, таксувани чрез SMS, закупуване на продукти за отслабване, изтегляне на фалшиви актуализации на приложения, участие във въпросници с фалшиви награди (потребителите се приканват да изпращат лични данни и да изпращат платени SMS) и др.

Примери за кампании, към които са насочени потребителите, могат да бъдат намерени на изображенията по-долу: