חשיפה: הנוזקה באפליקציית הפוקר בפייסבוק שגנבה אלפי מספרי אשראי של ישראלים

למאמר הבא
רונן מואס

השבוע חשפנו באמצעי התקשורת פרשה של נוזקת פייסבוק מסוג סוס טרויאני באמצעותה גנבו האקרים מעל שש עשרה אלף מספרי אשראי של גולשים ישראלים אשר משחקים במשחק הפוקר הפופולארי Texas HoldEm של זינגה בפייסבוק.

כבר התרענו רבות בעבר מפני איומים הצצים להם מדי פעם ברשתות החברתיות ובעיקר בפייסבוק. עם קרוב למיליארד משתמשים אין פלא שפייסבוק היא מקור פרנסה נאה, לא רק למארק צוקרברג, אלא גם לפושעי הרשת שמנסים לעשות 'כסף קל' על גבם של המשתמשים.

חשדם של חוקרי מעבדת הווירוסים של ESET התעורר לראשונה כבר לפני קרוב לשנה כאשר הם הבחינו בקוד הזדוני לראשונה. כאשר הם הבינו מה הקוד מנסה לעשות ומי הוא תוקף הם פנו למשטרת ישראל וליחידה הממשלתית להתמודדות עם מקרי חירום בתחום המחשוב (CERT) על מנת לנסות ולסייע לאתר את האחראי למתקפה על הגולשים הישראלים.

רצינו לשתף אתכם כאן בדרך הפעולה המתוחכמת של הנוזקה, כדי שתבינו עד כמה קשה לפעמים להבין שהאתר שאליו הגעתם, הוא למעשה אתר מתחזה:

ראשית, התוקף החזיק ברשותו מאגר לא קטן של פרטי התחברות גנובים לחשבונות פייסבוק, באמצעותם הוא יכול היה להתחבר לחשבונות של קורבנותיו. קיימות מספר דרכים להשיג כזה מאגר, בין אם הוא רכש אותו מהאקר אחר או יצר מתקפת פישינג אחרת שאספה עבורו את הפרטים (הכוונה בפישינג היא שהגולש מובל לאתר מתחזה, למשל דף זהה לחלוטין לדף הכניסה לחשבון הפייסבוק, כאשר בתמימותו הוא מנסה להתחבר לחשבון עם הדוא"ל והסיסמא שלו, אבל בפועל בזכות ההקלדה הוא מאפשר להאקר לגנוב את הפרטים הללו).

לאחר שהטרויאני חדר לחשבון הפייסבוק של הקורבן הוא חיפש מידע אודות הפעילות של המשתמש במשחק ההולדם פוקר של זינגה ובדק האם מעודכנים בחשבון הפייסבוק שלו אמצעי תשלום כלשהם (כלומר מספר כרטיס האשראי), באמצעותם נהג המשתמש לשלם עבור משחקיו. אם המשתמש לא הזין מספר כרטיס אשראי למערכת, כלומר לא היה שום דבר לגנוב ממנו, אז הטרויאני תוכנת לפרסם לינק מזויף בפרופיל המשתמש, כדי שיוכל להגיע גם אל חבריו של אותו משתמש ולהשיג את פרטיהם. כך נראה לינק מזויף שפורסם בפרופיל המשתמש, שהוביל לדף התחברות מזויף לפייסבוק:

לחיצה על הלינק הזה הובילה לדף אינטרנט שהבטיח לגולשים סרטונים בעלי תוכן בוטה, כמו הדוגמה הבאה:

כדי לצפות בסרטונים נדרש הגולש ללחוץ על לינק שיחזיר אותו לפייסבוק. לחיצה על הלינק הובילה אותו לדף הזה:

למרות שהוא נראה כמו דף הכניסה הרגיל לפייסבוק, משתמשים מנוסים יבחינו מייד שהכתובת המופיעה בשורת הכתובת בראש המסך היא לא הכתובת של פייסבוק, ומשתמשים שהזינו את פרטי ההתחברות שלהם בדף הזה למעשה שלחו אותם ישירות להאקר.

זו בהחלט לא הפעם ראשונה שאנחנו עדים למתקפות כאלה בפייסבוק ובטח ובטח שלא האחרונה. מה ששונה מהתקפות דומות בעבר הוא שהמתקפה הזו מיועדת אך ורק לישראלים. בדרך כלל, העובדה שישראל היא ארץ קטנה, דוברת עברית ועם מספר קטן יחסית של משתמשים פועלת לטובתנו, מרבית ההתקפות מתמקדות במדינות עם מספר משתמשים הרבה יותר גדול כדי לגרוף רווח נאה יותר. מאוד יכול להיות שמטרת המתקפה הזו לא הייתה רק כסף אם כי פגיעה בגולשים ישראלים, ולא נתפלא אם בסוף יתברר שההיא חלק מפעולות 'טרור הסייבר' שאיתו נאלצים להתמודד הגולשים הישראלים מדי יום.

כדי להימנע מהתקפות מסוג זה, מעבר לאמצעי האבטחה הברורים כגון אנטי וירוס, חומת אש ועדכונים שוטפים של מערכת ההפעלה, חברת ESET שילבה בגרסאות 6 החדשות אפליקציה סריקה חינמית לפייסבוק, שסורקת את הפרופיל של המשתמש ושל חבריו כדי לאתר לינקים זדוניים שעלולים לגרום לצרה כלכלית.

עם זאת, שום דבר אינו מהווה תחליף לשיקול הדעת ולהגיון הבריא שלכם. הפעילו אותם לפני שאתם חושפים מידע אישי אודותיכם או נכנסים לקישור שמבטיח דברים מעניינים ומפתיעים. המשך גלישה בטוחה!