“ 想必每个用过QQ的网民都不会对下面这条信息感到陌生。曾几何时,这样的消息像病毒一样遍布几乎所有QQ群,甚至很多还是都由你所熟识的朋友自发转发。”
当然,我们现在都知道,小马哥不可能每天过生日,转发这条信息也不会让你QQ等级升级,这些消息只是一个恶作剧游戏。
但是,起码在最初,确实有很多人对此信以为真,并在转发后,一脸渴望的巴巴看着自己的QQ等级,接着收获的又是深深的失望。
没人会对自己的朋友产生过多的戒心,也没人不曾相信万一我能走运呢。
这类信息的最初来源已不可考,但足以说明社交网络强大的传播力以及“天下熙熙皆为利来,天下攘攘皆为利往”这句千古名言的正确性。
可是,如果用同样的手法,促使你的朋友自发转发的,不再是这样不伤大雅玩笑性质的消息,而是真实有害的信息,又会发生什么样的事情呢?
不久前,以Facebook为代表的社交网络出现了一波虚假信息推送,这些推送声称主流航空公司网站正在提供免费机票。
来自世界各地的用户卷入了这场虚假信息推送风波,这些虚假推送涉及了阿联酋航空,法航,俄罗斯国际航空,S7航空公司,伊娃航空,土耳其航空,亚洲航空,印度航空等等公司。在未来,这份名单上可能还会涉及其他更多知名航空公司。
当然,并不存在任何提供免费机票的促销活动。欺诈者冒充主流航空公司,欺骗用户,目的包括欺骗受害者订阅付费移动服务、收集用户个人数据、欺骗用户安装恶意软件以及为广告及其他可疑网站引流。
这些欺诈者为此注册了很多域名,用以冒充这些知名公司。他们会在这些网站上祝贺用户获得两张机票,但前提是要求用户完成一系列任务来获取礼物。在这些任务里,用户最终会被引流到欺诈者经手的另一个网站上。该网站声称用户可通过“工作”获利,在社交网站上传播不实消息。
▲指向欺诈网站的社交网络推送案例
这并不是第一例由用户自己在社交网络传播欺诈内容的案件。之前就曾发生过网络钓鱼者创建声称能为苏亚雷斯撤销禁赛请愿的虚假网站,引诱Facebokk用户进行传播非法消息。类似的还有假捐款以及色轻内容。
所有这些案件都有一个共同点:威胁由用户自己参与传播于社交网络中。
攻击模式
让我们回到最近的一个案例,进行一番探究。跟随来自社交网络news feed的链接,用户会被指引到欺诈性网站。
我们发现了一系列隶属于欺诈者的域名:deltagiveaway.com,vvxwx9.us,aeroflot-com.us,aeroflot-ticket.us,qq3mz9.us,emiratesnow.us,emiratesgo.us, emirates.iwelltrip.us等等。
▲一些冒充知名航空公司的欺诈网站案例
由于这些欺诈计划仅在logo、语言及配色方式上有所差异,因此我们从这些网站中选择其一进行讨论。这是个声称从属于美国航空的网站,站内有则关于促销活动的消息,消息称用户须回答三个问题,之后则会有机会获赠两张机票。
▲一则冒充美国航空品牌进行欺诈的案例
受害人完成这些调查环节后,会被要求继续完成两项任务。首先,该网站要求受害者需在社交网站的个人主页上推送促销信息,并留下感谢航空公司的留言。接着,受害者被要求按下“喜欢”按钮。
★值得注意的是:
这些网站上会张贴一些赢得机票的用户的Facebook留言。调查证实这些留言全是诈骗者伪造的。我们可以在网站上留言,但一旦网页刷新,这些留言都会消失。而所有这些举措,都是为了让受害者相信网站真实可信。
在调查过程中,我们发现,大多数评论都是由同一人发布,这些评论所用语种各异,内容却极度相似,极有可能是用机器翻译程序进行翻译。
而在完成上述操作之后,网站基于地理位置功能定位结果,将用户重定向到不同网页。下述网页便是其中之一。
即便每次都使用相同操作完成上述步骤,网站的后续重定向网页都是不同的。这些网站充斥着可疑内容,这些内容包括彩票、广告、新一轮赠品调查、指向可疑文件的下载链接等等。
此外,有些网站还会建议用户下载一些确实有用的文件,与此同时,敦促用户下载一个具有潜在威胁的浏览器扩展程序。该程序拥有读取浏览器数据的权限,可帮助欺诈者获取用户登录名/密码、信用卡数据及其他机密信息。
此外,这个扩展程序还会继续将用户重定向到其自身在Facebook上的扩展,继续在用户及用户的朋友间进行传播。
根据网络应用商店的统计,截止本文发表时,有超过5,000个用户系统安装了该扩展程序。
受害者人数及其所在地理位置
采取这些欺诈策略的站点大多包含用于收集网络流量进行统计的外部服务链接。这些外部服务统计数据显示该类攻击分布广泛,主要目标是智能手机用户。在我们发现的所有域里,有两个域的统计信息令人印象深刻,以此作为案例进行说明。
▲aeroflot-ticket.us网站统计
▲针对aeroflot-ticket.us 网站的统计
▲针对emirateswow.us 网站的统计
不幸的是,无数的用户吞下了欺诈者抛出的诱饵。这些用户过于相信所谓的运气,忽略了这些典型的骗局,通过社交网络在朋友间传播了这些潜在的危险内容。
▲一些案例,关于发布包含指向欺诈站点链接的帖子
至此,这些欺诈性网络资源及其同类在短短几个小时内便获取了巨大的流量。
在信息传播方面,社交网络具有无穷的潜力。这些欺诈案例从某种角度证实了这点。
▲一些案例,关于发布包含指向欺诈站点链接的帖子
其实,这类欺诈信息何止在Facebook上盛行,我们的朋友圈早已遭受了荼毒。
想必每个人都曾在朋友圈看到过如上图这样的类似案例,而这就是一例典型的通过朋友圈进行病毒式营销的骗局。
这场骗局的目的只有一个:通过利诱收集用户的手机号码,以及你使用的手机类型。
那么有人会问了,收集手机号码和机型有什么用?
你还记得隔三差五的骚扰电话、骚然短信吗?而这就是不法分子获取你电话号码的手段之一。
最后,青松有几条防范此类骗局的建议。
·☛你应对此类“促销活动”保持足够的警惕。当你被导航到可疑链接,且被该网页要求输入个人数据时,首先要做的应该是联系该公司客服代表,求证该促销计划的真实性。
·☛仔细检查网页资源的地址将有助于识别欺诈。你最好先验证域名是否属于网站上指定的公司。可通过查询该域名的whois数据进行验证。
·☛为你的账户在社交网络上发布的内容负责。请勿传播真实性存疑的信息,以免卷入欺诈计划。
·☛不要安装可疑的浏览器扩展。若发现安装的扩展可疑,或者不知该扩展程序的作用,请在浏览器的设置部分中立即删除该扩展,并更改您访问的网站的密码,尤其是那些涉及网络银行信息处理的密码。
·☛使用可保护用户免受网络钓鱼威胁的安全解决方案。他们将阻止任何指向欺诈网站的链接尝试。
▌本文由青松云安全原创编译,如需转载,请署名出处。
安 全 之 道,青 松 知 道