Letos je tomu právě 25 let, kdy se objevil první virus pro PC, virus Brain. Kromě toho, že nastavil technickou laťku rovnou docela vysoko, byl zajímavý i tím, že v jeho těle byl uložen text, který obsahoval celou adresu, telefonní čísla i křestní jména bratrů (Basit a Amjad), kteří virus vytvořili…

 

Welcome to the Dungeon
© 1986 Basit * Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN
PHONE: 430791,443248,280530
Beware of this VIRUS…. Contact us for vaccination…

O 25 let později, začátkem roku 2011 se rozhodl Miko Hyponnen ze společnosti F-Secure, že výše uvedenou adresu osobně navštíví. Předpoklady se potvrdily. Na stejné adrese ve městě Lahore (Pakistán) byla objevena společnost Brain Telecommunication Ltd., velice úspěšná společnost poskytující internetové služby. Potvrdilo se i to, že firmu vedou sympatičtí bratři, Basit a Amjad

brain011
Tady před 25 lety vznikl virus Brain…

 

brain021
…a toto jsou jeho autoři

 

brain031

Více informací lze najít v zřejmě prvním video rozhovoru s oběma bratry, který byl poskytnut právě Miko Hyponnenovi (F-Secure). Skoro dojemný je pak závěr, kdy jim Miko předává hodně starou 5,25″ disketu s dnes již legendárním virem Brain v boot sektoru… (campaigns.f-secure.com/brain)

Proč toto zmiňuji? Protože dnes již takovou havěť nenajdeme. Zvlášť v dnešní době, když viry již nejsou o tom, aby zahrály nějakou melodii, či zajistily, že přes obrazovku projede malé vozidlo sanitky. V současnosti, kdy za havětí stojí organizované zločinecké skupiny, vydělávající těžké peníze aa stíhané orgány jako FBI, je to prostě „o hubu“. Můžeme tak hovořit, že s postupem času ubývalo publicity a přibývalo anonymity.

Od „anonymity“ k publicitě

Tímto se dostáváme do kapitoly sociálních sítí. Facebook spatřil veřejně svět v roce 2006 a v souvislosti s tímto článkem ho zmiňuji z důvodu, že jde o vhodné prostředí pro rozkvět podvodů. V souvislosti s kauzou viru Brain a dalšího vývoje havěti mě pak napadá ještě jedna věc. V případě Facebooku můžeme hovořit, že ubývá „anonymity“ a přibývá publicity :-) Viz. vývoj standardního nastavení uživatelského profilu v jednotlivých letech. Slovo „anonymita“ dávám v této souvislosti do uvozovek, protože asi lze těžko očekávat, že informace zůstane anonymní, když ji vědomě umisťujeme na internet a to rovnou do sociální sítě, kde je to celé o sdílení informací.

f20061
Vývoj nastavení profilu uživatele v jednotlivých letech. Ve středu je uživatel, soustředné kružnice pak ukazují, zda je daný typ informací veřejný pro přátele, přátele přátel, uživatelům facebooku či celému internetu. Čím více modré barvy, tím méně anonymity…

f20071

 

f20091-300x225

f2009b1-300x224

f20101-300x225

Facebook i jako prostředí pro podvodníky

Facebook je dnes mimo jiné ideálním zdrojem pro šíření podvodných zpráv, šíření spamu, hoaxů a nepřímo i havěti. Napomáhá k tomu absolutní důvěra v inteligenci přátel, neznalost relativně nového prostředí ze strany uživatelů a právě téměř absolutní publicita informací sociální sítě Facebook.

Konkrétně třeba provedení funkce „Likes“ („To se mi líbí“) tak trochu napomohlo k rozkvětu zcela stupidních podvodů a k praktickému využití techniky clickjackingu.

likes1

Technika clickjacking byla prvně předvedena v roce 2008 a tehdy šlo spíše o studii typu proof of concept, tedy „že to de“. V případě clickjackingu jde o to, že podvodná webová stránka obsahuje v reálu dvě vrstvy, přičemž ta „podvodná“ vrstva je transparentní – průhledná a není na monitoru uživatele vidět (nicméně pro počítač existuje). Pokud uživatel na takové stránce klikne myší na nějaký objekt (tlačítko, odkaz…), ve skutečnosti kliká na objekt v druhé, neviditelné vrstvě. Výsledkem je, že uživatel má dobrý pocit z toho, že kliknul jak potřeboval, nicméně z pohledu počítače kliknul na úplně něco jiného. Počítač je totiž inteligentní stroj a nemůže za to, že uživatel je stupidní stvoření, jenž nevidí průhledné věci

Hodně promyšlený útok technikou clickjacking tak může zajistit třeba zapnutí webové kamery uživatele bez jeho vědomí a vypublikování obrazu do celého internetu. To, že jde o proces zapnutí kamery, tak to přebírá počítač. Uživatel přitom hraje hru, kdy kliká na pohybující se objekty na obrazovce (ve skutečnosti kliká v neviditelné vrstvě na tlačítka v ovládacím panelu, kterýmí postupně zaktivuje web kameru). Právě takový útok byl publikován v roce 2008 (ukázka zde).

V případě Facebooku a techniky clickjackingu se nic tak převratného nekoná. Uživatel pouze vidí stránku s údajným videem, které je nutné zapnout tlačítkem PLAY či PŘEHRÁT. To vidí uživatel na monitoru. Ve skutečnosti opět kliká na neviditelnou vrstvu, kde se mu pod kurzorem myši automaticky přesouvá i tlačítko „To se mi líbí“. Kliknutím se tak nepřehraje video, nicméně dojde k přihlášení mezi skupinu lidí, kterým se daná věc na Facebooku taktéž líbila. Tou líbivou věcí je často webová stránka, kterou chce podvodník zviditelnit (a nebo ji sám za sebe zviditelnit nechce, ale dostane prachy, pokud ji zviditelní).

Většinou jde o „tuctové“ webové stránky, které by se klasickou cestou nikdy zviditelnit nedokázaly. Takhle mají několik desítek tisíc často nechtěných fanoušků, přičemž tím, že mají aktivitu typu „to se mi líbí“ na své zdi, často strhnou i další hromadu fanoušků mezi přáteli, následně mezi přáteli přátel a díky celkové publicitě „to se mi líbí“ (viz. obrázek koláče) napříč celým Facebookem.

Není pak nic jednoduššího, než občas zaslat skrze tuto skupinu fanoušků nějaký ten spam. Narozdíl od klasického spamu šířeného e-mailem, má tento v rámci Facebooku několik výhod. Především ho podvodník zasílá v podstatě cílové skupině uživatelů, kterou ke svému „podnikání“ potřebuje. Trochu přeháním, ale pokud se někoho podaří nalákat na falešné video „krvácející muž s ustřelenou hlavou“, pak je to perfektní „cílovka“ pro šíření spamu / reklamy na prodej střelných zbraní nebo potřeb první pomoci.

Další věci již jen formou obrázků a krátkých komentářů.

011-300x175
Pro podvody se výbírají aktuální témata, v tomto případě superstar. Všimněte si banneru „Garance nezávadnosti“. Dokonalá ukázka sociálního inženýrství – „oblbování“ uživatele. Další obrázky navazují, kdy podle instrukcí opravdu postupujete.

 

0211-300x175
Všimněte si, kolik má tahle skupina z velké části nechtěných „fanoušků“ (údaj vlevo) a kolik jich měla o obrázek výše. Pár sekund a hned pár dalších uživatelů Facebooku, co naletělo!

 

031-300x175
Místo slíbeného obsahu (videa, kdy Marešovi natáhl Rytmus), si pouze vložíte na zeď tuto debilní a nepravdivou zprávu. Možná si ťukáte na čelo a ptáte se: „kdo to proboha udělá?“. No hodně uživatelů…

 

0411-300x175
A znova tahání uživatele za nos, odkaz na záběry,…

 

051-300x168
…kdy ho podvodník přesměruje na stránky s grafickým vzhledem facebooku, avšak mimo doménu facebook.com…

 

0611-300x168
…a tam ho pro zobrazení vysněného videa nutí odklikat další „To se mi líbí“. Tím se oběť přihlásí do dalších dementních skupin, resp. se stane fanouškem dalších podobných skupin.

 

0711-300x175
Na konci se občas dočkáte i videa, nicméně že by tam byl Leoš Mareš a natož dostal po držce, to se říci nedá. Nicméně podvodník může být přesto spokojen, pokud jste prošli výše uvedené kroky, máte na zdi facebooku přiblblý vzkaz a jste přihlášeni asi v deseti dalších podobných a často pochybných skupinách. Masírování spamem může začít!

 

0811-300x174
Toto je jiný případ, kdy se videa nedočkáte vůbec. Nicméně účel to splnilo, vše se vám líbí…

 

091-160x300
Nyní se zřejmě na doméně tipynaslevy.cz již tato „soutěž“ nenachází, ale v minulosti jste byli nabádání k tomu, abyste v podstatě jakkoliv propagovali danou stránku a mohli tak vyhrát řadu hodnotných a zřejmě v reálu neexistujících cen (každý registrovaný soutěžící získal svoji unikátní URL adresu, čímž bylo zajištěno bodování). Výše uvedené mechanismy v rámci Facebooku na to fungují skvěle (a tak jste se často na konci celého řetězce ocitli právě na této stránce). Nicméně nic to nemění na tom, že o dobrých úmyslech této domény stále pochybuji. Pokud někdo nedokáže uvést ani adresu provozovny a doménu registruje na polo-fiktivní údaje, nic jiného si myslet nemůžu.

 

1011-119x300
Smsden.cz je jinou stránkou, kde můžete po všech slibech o videích skončit. Když už jste neviděli video, co takhle poslat pár premium SMS v hodnotě 99 Kč a vyhrát třeba BMW?

 

10b1-251x300
Opět schází adresa provozovny, údaje o doméně nepravdivé a výherci smyšlení. Nicméně sociální inženýrství zaručeně opět funguje a vlastník stránek pouze inkasuje 99 Kč z každé zaručeně výherní SMSky…

 

1111-208x300
Jinak lze dohledat fórum, kde byla doména smsden.cz včetně aplikace nabízena k dražbě. Vyvolávací cena byla 1000 Kč. Dražba skončila na částce 4800 Kč. O několik dnů později se změnil i vlastník domény. Vítěz a zřejmě podvodník v jedné osobě…

 

121-300x203
Na závěr ukázka clickjackingu v českém podání. Tento nefungoval zcela podle teorie, ale účel plnil :-) Druhá vrstva, která je jindy zcela neviditelná, se zde mohla projevovat jako malý bod, cestující spolu s kurzorem myši (nad ukazováčkem ruky).

 

1311-300x160
Kliknutí myši tak nevedlo k zapnutí videa, ale ke kliknutí na malý bod – zmenšeninu tlačítka „to se mi líbí“. Výsledkem bylo následující překvapení na zdi Facebooku bez vědomí uživatele…
 

Zdroj: viry.cz

 

Naši partneři

Chcete být součástí úspěšného projektu, podílet se na vývoji nebo investovat? Chcete se stát naším partnerem nebo využít affiliate program ? Pokud ano, kontaktujte nás.

Přidejte se k nám
Česká pojišťovna
Allianz
Kaspersky
sw.cz
Apple
Dell
Lenovo
Fujitsu
Packard Bell
MSI