Uwaga na złośliwe reklamy atakujące w największych polskich serwisach

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19243
Reakcje/Polubienia
56070
Od wczoraj obserwujemy wysyp złośliwych reklam, wyskakujących na ekranach telefonów w trakcie przeglądania najpopularniejszych polskich serwisów internetowych. Brak rozsądku może prowadzić do utraty ponad 200 złotych.

Od wczoraj rejestrujemy zgłoszenia ciekawych ataków. Polscy internauci w czasie przeglądania witryn Rzeczpospolitej (rp.pl), RMF (rmf.fm), Business Insidera czy Sadistica są przekierowywani na witrynę udającą konkurs, w którym można wygrać telefon. Witryna jest dość przekonująca, a sam „konkurs” prowadzi do wyłudzenia sporych kwot. Atak przeprowadzany jest za pomocą sieci reklamowej, z której korzystają wszystkie wymienione wyżej serwisy.

Jak wygląda przebieg ataku
Pierwszym krokiem jest odwiedzenie artykułu w jednym z atakujących serwisów. Po przewinięciu ekranu do miejsca, gdzie znajduje się złośliwa reklama, następuje automatyczne przekierowanie na stronę
Zaloguj lub Zarejestruj się aby zobaczyć!
, gdzie ofiara widzi odpowiedni ekran (w zależności od tego, z usług jakiego operatora korzysta):

combo2-580x388.png

Akurat nie mamy zgłoszenia użytkowników Plusa, ale zapewne widzą odpowiednią wersję. Kolejne kroki są banalne.

combo3-580x420.png

Najpierw trzeba odpowiedzieć na 11 trywialnych pytań dotyczących sposobu korzystania z sieci. Odpowiedzi nie mają znaczenia – wszystkie są bardzo dobre. Po „weryfikacji odpowiedzi” otrzymujemy szansę przejścia do kolejnego etapu.

combo4-580x418.png

Tym razem po kliknięciu w guzik „OK” trafiamy na stronę cs.nailrr.com, gdzie możemy odebrać Samsunga Galaxy S9 (choć wcześniej miało być S10, no ale trudno). W przeciwieństwie do poprzednich, podobnych oszustw, tutaj trzeba uiścić opłatę w wysokości 15 PLN (wcześniej była tylko bezpłatna weryfikacja). Lektura regulaminu na tym etapie może odrobinę pomóc w uchronieniu się przed stratą pieniędzy.

combo5-533x580.png

W regulaminie wyczytamy bowiem, że opłata oznacza jedynie rejestrację w konkursie, w którym mamy szansę wygrania Galaxy S9 i wylosowany ma być jeden zwycięzca na 600 uczestników. Co ciekawe, najbliższe losowanie odbędzie się już 30 kwietnia 2019, więc szanse nie wynoszą nawet 1/600, a raczej 0/600. Co więcej, subskrypcja usługi, za którą właśnie płacimy 15 PLN, to promocja na pierwsze 5 dni – jeśli w tym terminie nie wypowiemy umowy (tracąc szansę na „wygraną”), to szóstego dnia nasza karta zostanie obciążona kwotą 199 PLN i kolejnymi analogicznymi kwotami co 30 dni aż do momentu, gdy zorientujemy się, że nie chcemy jednak tych obciążeń na karcie.

Jak działa ten atak
Próbowaliśmy nagrać przebieg pierwszego etapu ataku, lecz bez powodzenia. Stacjonarna przeglądarka, udająca telefon, połączona przez sieć komórkową, nie podobała się najwyraźniej reklamodawcom, których interesują tylko użytkownicy smartfonów. Jeśli wam uda się nagrać ruch tego ataku, prosimy o kontakt. Ciekawy musi być też sposób przekierowania strony, zapewne wykorzystujący podatność przeglądarki lub przynajmniej jakieś jej niedoskonałości. Pierwszy url, na którym lądują ofiary, to na przykład:

[http]:[//]gift.gifts-for-free.online/lucky-888/PL-CC-S10/play/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/PL-CC-S10/T-Mobile/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/PL-CC-S10/orange/index.html


Analiza domeny gifts-for-free.online wskazuje, że kampania ma zasięg międzynarodowy – możecie to zobaczyć chociażby po takich linkach z Singapuru, Australii, USA, Hiszpanii, Włoch, Szwecji, Francji, Szwajcarii czy Nowej Zelandii :

[http]:[//]gift.gifts-for-free.online/lucky-888/SG-CC-S10/Singtel/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/AU-CC-S9/TPG-s9/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/US-CC-S10/T-Mobile/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/ES-CC-S10/ES-CC-movistar-10/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/IT-CC-S10/IT-CC-TIM-S10/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/SE-CC-s9/SE-Telia-S9/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/FR-CC-S10/FR-Free-CC-S10/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/CH-CC-s9/CH-CC-Swisscom-s9/index.html
[http]:[//]gift.gifts-for-free.online/lucky-888/NZ-CCs9/NZ-CC-Spark/index.html


Nie wiemy niestety, która sieć reklamowa jest nośnikiem ataku – na wszystkich wymienionych stronach jest ich zbyt dużo, by tylko z tego elementu wnioskować. Jest to jednak kolejny argument za walką o możliwość używania AdBlocka w telefonach. Jak do tej pory wszystkie zgłoszenia, które otrzymaliśmy, dotyczyły wyłącznie użytkowników iPhonów i Safari. Niewykluczone, że ten atak wycelowany jest właśnie w tę grupę – reklamodawca może na żywo wybierać, komu wyświetli złośliwy kod, a komu nie.
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry