Εντοπισμός στοιχείων απάτης στο Facebook από τον Μaxpain (greyhat vs «hacker»)
Όπως έχει γίνει γνωστό κυκλοφορεί εδώ και μερικές ώρες ένας νέος ιός στο Facebook με ένα μωρό και ένα φίδι που μολύνει τα Facebook profiles ανυποψίαστων χρηστών του κοινωνικού δικτύου..
Δείτε λεπτομέρειες σε άρθρο στο Mediagate και συγκεκριμένα εδώ.. Σύμφωνα με ΑΠΟΚΛΕΙΣΤΙΚΗ ενημέρωση του SecNews, ο Greyhat hacker Maxpain κατόρθωσε να εντοπίσει στοιχεία σχετικά με την προέλευση της επίθεσης τα οποία και μας κοινοποίησε. Η φωτογραφία που βλέπουν στα Facebook profile οι ανυποψίαστοι χρήστες – πιθανά θύματα της επίθεσης είναι <…>
η παρακάτω:
Mε μήνυμα του στο Twitter o Μaxpain μας υπέδειξε σύνδεσμο όπου αναφέρει επακριβώς τις ενέργειες που ακολούθησε ώστε να φτάσει μέχρι τον εντοπισμό της προέλευσης της επίθεσης.
Συγκεκριμένα, σύμφωνα με την ανάλυση που διενεργεί μέχρι αυτή την στιγμή ο Maxpain, εντόπισε οτι καταρχήν ο άγνωστος «hacker» που δημιούργησε την απάτη στο Facebook χρησιμοποιεί μερικά «shorten url» για να κατευθύνει στην τοποθεσία που επιθυμεί τα υποψήφια θύματά του αποκρύπτοντας την ταυτότητά του. Όλα τα urls οδηγούν στο domain www.lolemall.com και συγκεκριμένα στον υποκατάλογο lolemall.com/moro.
Απο εκεί ο άγνωστος «hacker» κάνει redirection στην κακόβουλη εφαρμογή που διασπείρει στο Facebook. Οι συγκεκριμένες κακόβουλες εφαρμογές έχουν την ονομασία «spreaders» στην Underground κοινότητα των hackers και σκοπο έχουν να διασπείρουν κακόβουλο λογισμικό μέσω κοινωνικών δικτύων. Το εν λόγω domain που χρησιμοποιεί για την διασπορά έχει γίνει register με παραποιημένα ή ελλειπή στοιχεία. Κάποια από τα στοιχεία όμως που έχουν δηλωθεί είναι αληθινά (πχ e-mail), γεγόνος που έδωσε την δυνατότητα στον Maxpain να εντοπίσει μέχρι και αριθμό κινητού τηλεφώνου! Δείτε τα στοιχεία που εκθέτουν τον άγνωστο «hacker»:
Ο Maxpain αναφέρει μεταξύ άλλων οτι έφτασε στον εντοπισμό των στοιχείων του αγνώστου που διασπείρει την εν λόγω απάτη εντός 5 λεπτών, επισημαίνοντας μάλιστα οτι η αρχική προέλευση της επίθεσης είναι από την πόλη της Θεσσαλονίκης (!).
Ο Maxpain τονίζει μάλιστα οτι το άτομο που διασπείρει την συγκεκριμένη επίθεση, θύματα της οποίας έχουν πέσει πάρα πολλοί χρήστες, κάθε άλλο παρά «hacker» είναι. Πρόκειται όπως αναφέρει για άτομο χαμηλού γνωστικού υπόβαθρου (δίνει τον χαρακτηρισμό troll), που δεν διαθέτει την στοιχειώδη όπως αναφέρει εμπειρία να αποκρύψει επιτυχώς τα στοιχεία του.
Ο Maxpain με τις μεθόδους και τα εργαλεία που διαθέτει, δηλώνει τέλος οτι έχει προβεί στις κατάλληλες ενέργειες από την πλευρά του ώστε να σταματήσει η διασπορά της κακόβουλης αυτής απάτης μέσω Facebook.
Η συντακτική ομάδα του SecNews ευχαριστεί τον Maxpain για την έγκυρη και αναλυτική ενημέρωση.
Σημείωση SecNews: Σύμφωνα με τα παραπάνω και με επιπλέον στοιχεία που έχει στην διάθεσή του το SecNews, ο εν λόγω «hacker» έχει προβεί σε αγορά και άλλων domains ενώ προετοιμάζει αντίστοιχες επιθέσεις. Συγκεκριμένα τα ονόματα ιστοτόπων που έχουν αγοραστεί με τον ίδιο τρόπο είναι τα terastio.com, mpampouri.com, zdouf.com,ksekatharisma.com και tsekouri.com. Πιθανόν υπάρχουν και άλλα τα οποία το SecNews δεν έχει στην διάθεσή του αυτή την στιγμή.
Το περίεργο της υπόθεσης είναι οτι έχει δηλωθεί ως τηλέφωνο καταχώρησης των domains (πιθανόν εν αγνοία του κατόχου του τηλεφώνου) γραφείο δικηγόρου – δικαστικου επιμελητή στην πόλη της Θεσσαλονίκης!