Facebook-Spam zur Darmsanierung über das mobile Web

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

UPDATE: Ich möchte klarstellen, dass Facebook zwar der Meinung ist, dieser Angriff stehe im Zusammenhang mit einer früheren Konto-Phishing-Aktivität, doc h hat mir mehr als eine der betroffenen Personen bestätigt, dass sie sich seit einer Weile nicht mehr bei Facebook angemeldet hatten und sich sicher sind, nicht auf einen Phishing-Betrug hereingefallen zu sein. Es ist siicherlich wahr, dass Code auf mehr als einer Website veröffentlicht wurde, die das mobile Facebook-Portal verwendet, um ein Facebook-Profil zu aktualisieren.

______________________________________________________

Ich wurde in den letzten Tagen von ein paar Leuten angesprochen, die sich wegen Spam-Statusnachrichten, die in ihren Facebook-Konten angezeigt wurden, Sorgen machten.

FB-Nachricht

Die Nachrichten werben für eine  URL  (colonrevi.com) auf eine Diät-Site , die über ein System aus Tochterunternehmen Umsatz generiert. Dieser Link wurde bereits wegen Missbrauchs ausgesetzt, doch zum Zeitpunkt des Angriffs leitete er Besucher auf cleancoloncleanse.com um. Diese Website geht mit CleanseProX, einem unechten Schlankheitsmittel, hausieren. Ich glaube, ihr eigener Haftungssausschluss unten auf der Seite bestätigt meine Verwendung des Wortes „unecht“.

CleanseProX-Haftungsausschluss

CleanseProX-Haftungsausschluss

Die Website greift auf zahlreiche bekannte Tricks aus pharmazeutischen Betrügereien und gefälschter Antiviren-Software zurück, übertreibt schamlos die Wirksamkeit des Mittels, versucht, ihre Glaubwürdigkeit zu untermauern, indem sie auf Inhalte verweist, die mit dem Thema nichts zu tun haben (die Website hier zeigte ein CBS-News-Video mit dem Titel „Darmkrebs besiegen“) und die unverlinkten Bilder sollten die Sicherheit des Produkts oder Service belegen.

Bestellformular

CleanseProX-Bestellformular

Eine interessante Ergänzung hierzu war die Verwendung eines gefälschten Echtzeit-Chat-Fensters, das angezeigt wird, wenn man versucht, die Seite zu verlassen. Das Fenster gibt vor, dahinter stecke eine lebende Person, die besorgte Anfragen beantwortet und Versandkosten zum halben Preis anbietet, in Wahrheit aber ein miserabel getarntes, automatisches Skript ist. Das Skript ist so programmiert, dass es auf Wörter wie „Betrug“, „Schwindel“ und „echt“ reagiert, um dem Opfer zu versichern, dass es hier natürlich nicht um Betrug geht und dass der Gesprächspartner eine lebende Person ist – obwohl genau das Gegenteil der Fall ist. Nach den infizierten Facebook-Profilen befragt, hatten sie nicht mehr viel zu sagen…

Chat

CleanseProX-Intellichat-Fenster

Aus dem Screenshot ist ersichtlich, dass der Service von einem Unternehmen mit Namen Intellichat bereitgestellt wird, das auf seiner Website deutlich macht, dass es Antworten in Skriptform bereitstellt, und keinen Live-Chat. Man muss sich aber fragen, warum das Unternehmen hierzu bereit ist, wenn es sich schlicht und ergreifend um Falschaussagen handelt, wie das unten stehende Beispiel zeigt.

echt

CleanseProX-Intellichat-Fenster

CleanseProX wird von einer Firma mit Namen Teloxys Technologies Limited vertrieben. Eine schnelle Google-Suche deckt auf, dass sie auch in Zusammenhang mit Produkten wie TrimBerryAcai, CleanseHerbal, Naturacai und Resveratin (eine „Verjüngungs“pille) stehen. CleanseProX scheint auch nicht zu viele zufriedene Kunden zu haben (ja, es gibt tatsächlich Leute, die auf so etwas hereinfallen).

Bild von complaintsboard.com

Bild von complaintsboard.com

Ich habe mich auch mit den „Guten“ bei Facebook über diese neueste Konto-Hijacking-Aktivität unterhalten, und sie glauben, dass sie von einem früheren Phishing-Angriff zum Entwenden von Anmeldedaten herrührt. Die Spam-Updates in diesem speziellen Angriff schienen bislang alle aus dem „Mobilen Web“ zu stammen. Das bedeutet nicht, dass Betrüger Ihr Profil per SMS missbrauchen, wie es einige Opfer befürchtet haben, sondern nur, dass sie m.facebook.com verwenden (das Portal für mobile Benutzer), um Spam zu senden. Bei SMS-Updates würde angezeigt, dass sie aus „Mobilen Textnachrichten“ stammen. Wenn Sie also zum Opfer geworden sind, sollten Sie sofort Ihr Kennwort ändern. Facebook-Benutzer sollten immer wieder beim Facebook-Blog zum Thema Sicherheit nachsehen, um sich über die neuesten beobachteten Bedrohungen auf dem Laufenden zu halten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*