Zatímco spousta z nás v prvních dnech konfliktu posílala peníze neziskovým organizacím či přímo na účet ukrajinské armády, situace hned vzápětí začali využívat také různí podvodníci skrze falešné charitativní sbírky. Bezpečnostní analytici z ESETu již 25. února varovali před několika webovými stránkami, kde byly pod záminkou humanitární pomoci zveřejněny výzvy k zaslání peněz. Všechny tyto stránky spojovalo velmi emotivní volání po solidaritě s lidmi na Ukrajině a výzva k zaslání finanční pomoci obráncům země.

Příklad falešných stránek s podvodnými výzvami na pomoc Ukrajině. Zdroj: WeLiveSecurity.com

Na samotných stránkách s falešnými sbírkami bylo přitom jen velmi obecně uvedeno, jak bude s pomocí naloženo. Při bližším prozkoumání také chyběly další informace, které by potvrzovaly jejich legitimitu.

Na falešné sbírky, které hrají na naše emoce, přitom můžeme narazit i na sociálních sítích a ve svém e-mailu. Na jeden takový pokus upozornil například uživatel  sociální sítě Reddit. Podvodník se v e-mailu vydával za ukrajinskou ženu a velmi emotivně žádal příjemce zprávy o zaslání finanční pomoci v bitcoinech, což bylo zdůvodněno tím, že banky v zemi jsou v důsledku konfliktu zavřené a nelze se tak dostat k jiným finančním prostředkům.

Zdroj: Reddit

Výzvy k zaslání pomoci v bitcoinech se přitom objevily také na sociální síti Twitter. Podvody na sociálních sítích mohou být obecně špatně odhalitelné. Jsou to právě sociální média, která pomáhají dostat k veřejnosti i oficiální humanitární sbírky a kde je s ohledem na velké množství informací složité ověřit jejich správnost.

Výzva k pomoci může na sociálních sítích vypadat i takto (zde se jedná o sociální síť Instagram). V tomto případě nelze jednoznačně určit ani vyloučit pravost profilu.

Jak nenaletět podvodníkům?

Následující bezpečnostní tipy vám pomohou předejít tomu, aby vaše peníze neskončily v rukou podvodníků:

• Před tím, než budete někam posílat peníze, si organizaci pečlivě prověřte. Hodnověrná organizace bude mít na stránkách uveřejněnou svou historii a informace o aktivitách v místě konfliktu/katastrofy.
• Jakmile si organizaci prověříte, přispějte prostřednictvím jejích stránek, nebo se obraťte napřímo na její kontaktní osoby s prosbou o radu, pokud máte nějaké pochybnosti.
• Pokud obdržíte e-mail od neznámého odesílatele, nikdy v něm neklikejte na odkazy a nestahujte ani nespouštějte přiložené soubory. Totéž platí o zprávách, které obdržíte na sociálních sítích. Prostřednictvím neověřených příloh a odkazů si můžete do svého zařízení stáhnout škodlivý kód, například spyware.
• I když obdržíte zprávu od známé instituce nebo organizace, informaci si u ní radši ještě ověřte. Ať už e-mailem, nebo přes telefon.
• Dávejte pozor i v případě sbírek na sociálních sítích, které mají hodně srdíček a lajků. Většina z nás příspěvky na sociálních sítích do hloubky nezkoumá a oblíbenost nějakého příspěvku nemusí být ukazatelem jeho pravosti. To platí i o příspěvcích, které vám doporučí vaši přátelé.
• Nepodléhejte nátlaku. Podvodníci se nás často snaží vystresovat nebo vystrašit, protože dobře vědí, že pod tlakem a v emocích uděláme nepromyšlená rozhodnutí.
• Důvěryhodné sbírky nebudou probíhat v bitcoinech ani jiné virtuální měně. Pořízení takové měny je pro řadu lidí složité a každá organizace by se tak připravovala o část dárců. Nemluvě o tom, že řada sbírek má otevřené transparentní účty, což v případě kryptoměn není možné.

Bára vám vše důležité shrnula ve videu:

Nákupy za desítky tisíc? No, nesdílejte to!

Nejtypičtějším příkladem malvertisingu jsou kupony na nákup v některém z velkých řetězců, které se šíří na sociálních sítích. V minulosti byly terčem těchto podvodů Tesco, Kaufland, Lidl, Albert či Pepco. Všechny řetězce rychle reagovaly a před falešnou kampaní varovaly své uživatele na oficiálních profilech. Podvodníci využívají domnělé výročí nebo podobnou výjimečnou příležitost, aby uživateli „sleva“ nebyla podezřelá.

Výše vidíte podvodné inzeráty, které zneužívají jméno známých obchodů. Scénář podvodu je stejný. Podvodník vytvoří falešný inzerát s odcizeným jménem organizace, logy, grafikou či fotografiemi. Uživatel musí vyplnit krátký dotazník, a nakonec také osobní údaje – jméno a telefonní číslo. Své údaje tak uživatel předá útočníkům. Uživatel, který se proklikal celým scénářem, se tak přihlásil k odběru placených SMS v ceně 99 Kč týdně.

Namísto dárku v řádu několika tisíc mohl uživatel jen sledovat, jak mu mizí peníze. Podmínky akce (tedy informace o přihlášení k placené službě) byla umístěna drobným písmem až na konci stránky, takže tyto podmínky uživatel často ani nezaznamenal. Za podvody často stojí firmy ze zahraničí. V loňském i letošním roce stála za podvodem firma Mobile Minded B.V. z Nizozemí.

V popisu drobným písmem uživatel zjistí, že se nejedná o dárkový poukaz, ale soutěž, a že výherce bude oznámen až po skončení akce. Popis odkazuje na doménu gogogy.com. Ačkoli má i mutaci v češtině, je vidět, že překlad je značně neprofesionální. Naštěstí lze rychle dohledat informace o odhlášení.

Luxusní brýle skoro zadara, ale jen dnes

Dalším typickým podvodem je nabídka extrémní slevy na nějaký lukrativní (značkový a drahý) produkt. Velmi často se můžete setkat s malvertisingem na brýle Ray Ban, luxusní kabelky či šperky. Princip podvodu byl podobný jako v předchozím případě. Útočník se snažil získat osobní údaje a připravit uživatele o peníze. O případu jsme loni natáčeli reportáž.

Velmi často podvodníci vyžadují, aby uživatel pro získání nabídky inzerát sdílel. Takto se podvodná nabídka virálně šíří mezi uživatele a zvyšuje se pravděpodobnost, že někdo nepozorný na podvod naletí.

Jak poznat malvertising?

Malvertising se stal na internetu běžnou podvodnou praktikou. Podvod, ale zpravidla dokážete odhalit, stačí si dát pozor na tyto aspekty:

• Příliš lákavá nabídka
  „Zadarmo ani kuře nehrabe.“ A pokud inzerát slibuje tisícové slevy nebo luxusní výrobek za pár „kaček“, buďte obezřetní.  Například v podzimní kampani: podvodníci nabízeli slevu do obchodu ve výši 5 tisíc, mluvčí stejného řetězce ale uvedla, že vydávají stokorunové poukázky. Tedy slevu ano, ale mnohonásobně nižší.
• Jazyk inzerátu
  Řada podvodů je globální a složitější čeština tedy trochu „skřípe“. U reklam si firmy dávají záležet, najímají korektory a vše si pečlivě kontrolují. Nevěřte inzerci s gramatickými chybami.
• Tlak na nákup
  Pokud v akci tvrdí, že musíte odkliknout výhru hned teď, zbystřete. Útočníci se vás pokoušejí donutit jednat rychle, abyste neměli čas si projít podmínky nebo zvážit, zda se nejedná o nekalou nabídku.
• Web, kam stránka vede
  Prověřte si doménu (adresu stránky, na kterou vede inzerát). Podvodníci často vymýšlejí domény, které připomínají skutečný web firmy. V případě našeho magazínu by podvod mohl vypadat třeba takto:
  dvojklik.coolsoutez.com
  Slovo dvojklik na začátku může zmást, formálně jde ale subdoménu. Celá doména se dělí do několik řádů. V našem případě se dělí doménová adresa takto:
  • .com= doména prvního řádu a obvykle určuje zemi, například .ru je web registrovaný v Rusku, .cz v Česku.
  • coolsoutez = doména druhého řádu, do té se obvykle píše název firmy nebo nějaký text, podle kterého si uživatel web zapamatuje. Tuto doménu 2. řádu si její majitel registruje, aby ceněný text v doméně vlastnil jedině on. Například doménu eset.cz si tedy logicky registrovala a vlastní ji firma ESET software.
    Pokud by se jednalo o naši soutěž, slovo „dvojklik“ by bylo na tomto místě.
  • dvojklik = doména třetího řádu, zde lze napsat prakticky cokoli, tedy i název portálu, jehož jména chce útočník ke svému podvodu zneužít.

• Chybějící podmínky
  Pokud nevidíte jasně a zřetelně podmínky akce, mějte se na pozoru. Podle zákona totiž podmínky pořadatel zveřejnit musí.

Pokud naleznete lákavou akci, ale něco z uvedeného chybí, prověřte na oficiálním profilu nebo webu značky, která akci vyhlašuje. Podvodné obchody monitoruje případně také Česká obchodní inspekce. Případně si aktivně najděte podmínky a přesvědčte se, kdo skutečně za akcí stojí.

V ESETu jsme analyzovali škodlivý kód, jehož autora zajímají lechtivé soukromé fotografie uživatelů slovenské sociální sítě Pokec. Přihlašovací údaje krade uživatelům tak, že je přiměje k instalaci škodlivé mobilní aplikace, díky níž by mohli její majitelé bezplatně sledovat erotické chaty.

Ve skutečnosti je však hlavní funkcí škodlivého kódu získávání přihlašovacích údajů k uživatelským účtům na Pokecu. Hesla a loginy tak útočník nezískal hacknutím Pokecu, ale obelháním svých obětí. Dotčeným uživatelům následně stahuje intimní soukromé fotografie a videa z jejich alb a e-mailů na Pokecu.

Útočník šíří škodlivý kód prostřednictvím hned několika škodlivých stránek. Z našich informací vyplývá, že oběť dostala link na škodlivou stránku přímo přes sociální síť Pokec. Ať už přes Rychlou poštu, chatovací místnost nebo si k němu našla cestu přes profil jiného uživatele nebo uživatelů.

Našim analytikům se nepodařilo zjistit, z jakého konkrétního důvodu útočník krade intimní fotografie obětí. Nevíme, zda jde čistě o soukromý zájem nebo o pokus o vydírání. Co ale víme, je, že podle více indicií pochází autor tohoto útoku s nejvetěší pravděpodobností ze Slovenska.

Zajímavostí je, že byl natolik zdatný, že dokázal vytvořit škodlivý kód, opatřit si domény a reálně přimět uživatele, aby si stáhli škodlivou aplikaci. Zároveň však na webu nešikovně použil slovní spojení „erotické visílání“.

V každém případě jsme ale na škodlivé weby upozornili provozovatele sociální sítě Pokec, který podvodné odkazy okamžitě odstranil.Uživatelé s aktuálním bezpečnostním řešením od společnosti ESET jsou před touto škodlivou aplikací chráněni. Je určena pro mobilní telefony s operačním systémem Android a ESET ji detekuje jako Android/Spy.Agent.AHK. Její autor však vytvořil i verzi pro desktopový operační systém Windows, kterou ESET detekuje jako MSIL/Bladabindi.F.

Jak aplikaci identifikovat a odstranit?

Aplikaci můžete odstranit buď automaticky – použitím antivirové ochrany (například ESET Mobile Security) – nebo manuálně. Pokud jste se rozhodli pro manuální odstranění, infiltraci můžete najít pod různými názvy v Nastavení -> Aplikace -> Správce aplikací -> PornShowHot/Webcam Show/Erotic-Show/Sex Hot/SexShow/Sexy-Show. Po kliknutí na jednu z těchto aplikací zvolte možnost odinstalovat.

Jak se před těmito a podobnými škodlivými kódy chránit?

• Aplikace a programy stahujte výhradně z oficiálních obchodů jako Google Play nebo Android App store.
• Používejte alespoň nějakou mobilní bezpečnostní aplikaci, například ESET Mobile Security.
• I do oficiálních obchodů totiž občas proklouznou škodlivé aplikace, před nimiž vás dokáže bezpečnostní aplikace ochránit. Váš mobilní telefon je de facto počítačem, v němž máte uložené zajímavé informace, které lákají útočníky.
• Nevěřte všemu, na co na internetu narazíte. Nabídky, které vypadají příliš lákavě a dobře na to, aby byly skutečné, zřejmě ani skutečné nebudou. Útočníci často poskytují na internetu „zdarma“ zpoplatněné programy nebo aplikace, přidávají k nim ale škodlivý kód. Za jejich používání tedy zaplatíte jinak.

Podle Tima Helminga z americké společnosti DomainTools, která se zabývá analýzou bezpečnostních hrozeb na internetu, jde o typickou snahu nalákat důvěřivé uživatele a zneužít jejich citlivých dat. „V některých případech falešné stránky požadují i přihlášení k osobnímu profilu na Facebooku nebo na jiných sociálních sítích,“ varoval Helming na webu Infosecurity-magazine.com. „Takto ukradená přístupová hesla mohou být dále prodána nebo nabízena na internetových fórech mezi hackery. Mohou být zneužita i pro šíření dalšího malware nebo i ransomware,“ upozornil.

Společnost provedla rozsáhlou analýzu dat

Společnost provedla rozsáhlou analýzu dat. Zjistila tak, že stejný útočník, který lákal na podvodné stránky easyJetu, stojí za 113 dalšími falešnými internetovými doménami.  Například britishairways-com.us, ryanair-freepass.us, pizza-chuts.us a tesco-uk.us. Uživatelé by podle Helminga měli být ostražití při zadávání adres do internetových prohlížečů a navštěvovat pouze oficiální weby společností. Podezřelé jsou podle něj i adresy, které obsahují „com-(text)“. „Jsme natolik zvyklí, že se v adrese vyskytuje koncovka „.com“, že můžeme snadno přehlédnout další text, který na tuto koncovku navazuje za pomlčkou,“ varoval Helming.

Typosquatting je poměrně běžná metoda, kterou se kybernetičtí zločinci snaží rozšiřovat mezi uživateli internetu různé viry a další škodlivé kódy. Vytvoří internetové stránky, které mohou být k nerozeznání od oficiálních webů různých známých společností, a zprovozní je na adrese podobné legitimním webům. Jde například o adresy Netflix.om a YouTube.om, jež využívají národní doménu Ománu, již si útočníci v poslední době velmi oblíbili. Návštěvníci falešných webů jsou poté požádáni, aby si stáhli do svého zařízení aplikaci nebo aktualizaci prohlížeče, což je ve skutečnosti vir.

Data o platební kartě, včetně PIN, padnou do rukou tvůrců této podvodné kampaně. Navíc putují internetem nezašifrovaná, takže se k nim může dostat prakticky kdokoli a ukrást peníze z platební karty. Podvodná reklamní kampaň necílí pouze na Českou republiku, v těchto dnech ale její aktivity mezi českými uživateli Facebooku mimořádně sílí. Účet napadeného uživatele se navíc stává šiřitelem této kampaně: rozesílá reklamní spamy svým přátelům, které tak může uvést v omyl.

Reklama se šíří prostřednictvím napadených facebookových účtů, jichž se zmocnili útočníci za pomoci malware a sociálního inženýrství. Bez vědomí původního majitele účtu publikují fotografie, na kterých propagují právě zlevněné sluneční brýle značky Ray-Ban. Řada uživatelů Facebooku proto následně rozesílá svým přátelům upozornění, aby na takto zaslané odkazy nechodili a nestali se další obětí podvodné kampaně.

Zákeřný plugin k „YouTube“

Metod sociálního inženýrství zneužívá i další škodlivá kampaň na Facebooku, jež se maskuje jako plugin pro přehrávání videa v internetovém prohlížeči Google Chrome. Útočníci nejprve nalákají uživatele Facebooku na video s názvem „My First Video“, „My Video“ či „Privat Video“.

Po kliknutí na odkaz se otevře falešná internetová stránka podobná YouTube, která místo přehrání videa žádá o instalaci pluginu: „Je nám líto, pokud si neinstalujete plugin pro přehrávání videa, nebudete si moci toto video přehrát! Kliknutím na tlačítko „Přidat plugin“ spusťte video.“

„Plugin“ je ve skutečnosti škodlivou verzí jinak neškodného a běžně používaného pluginu „Make a GIF“, který pomáhá vytvářet obrázky ve formátu GIF. Pokud si důvěřivý uživatel nainstaluje škodlivý plugin, infikuje si internetový prohlížeč a jeho profil na Facebooku začne velmi rychle šířit odkaz na falešný YouTube mezi jeho přátele, změní přístupové heslo k jeho profilu na Facebooku a začne přidávat nové přátele, vytvářet facebookové stránky, měnit a skrývat příspěvky. Společnost ESET od začátku dubna detekovala tuto hrozbu již desetitisíckrát v desítkách zemí celého světa.

Škodlivá kampaň se šíří přes spam a infikované účty na Facebooku a je při tom velmi úspěšná. V tuto chvíli útoky cílí pouze na uživatele internetového prohlížeče Chrome, ale neexistuje žádná záruka, že se v budoucnu nerozšíří i do dalších prohlížečů. Proto existuje riziko, že by se v budocnu mohla stát mnohem nebezpečnější, pokud jejím prostřednictvím bude šířen zákeřnější malware s novými schopnostmi.

Napadený počítač je třeba okamžitě zbavit škodlivého pluginu odinstalací a zkontrolovat hloubkovým skenem antivirového programu. Až po proskenování a vyčištění počítače je možné změnit heslo do Facebooku, případně by tak měl uživatel učinit prostřednictvím jiného bezpečného zařízení. Heslo si určitě neměňte na počítači s infikovaným internetovým prohlížečem, i k novému heslu by se totiž dostal útočník.

Zdroj obrázků: welivesecurity.com

Podobně jako mnohé další hrozby i Bayrob je distribuován pomocí infikovaných příloh v e-mailech. Tvůrci vše zabalili do sociálně inženýrského obalu společnosti Amazon, takže uživatel našel v e-mailové schránce na první pohled důvěryhodný e-mail. Při pozornějším zkoumání však bylo jasné, že jde o podvod. Adresa odesílatele neměla s Amazonem zcela nic společného.

Dalším varování bylo, že příloha obsahovala spustitelný soubor. Pokud na něj uživatel kliknul a nezafungoval rezidentní štít antivirového programu, na obrazovce se objevila hláška o tom, že soubor nelze spustit.

Upozornění však mělo za úkol uživatele pouze ujistit, že se nic nestalo. Ve skutečnosti se však už rozjel na počítači klasický malware kolotoč. Bayrob se zaregistroval jako systémová služba a upravil systémové registry tak, aby si zajistil opětovné spuštění při každém zapnutí počítače.

Jako u většiny malware kampaní z poslední doby, je i Win32/Bayrob pouze vstupní branou do počítače uživatele. Proto se ihned po úspěšné infekci snaží připojit k řídícímu serveru (ten je pod kontrolou útočníka) a postupně začne do infikovaného počítače stahovat další škodlivý kód. To může později vést například k phishigovým útokům při používání internetového bankovnictví a v konečném důsledku třeba k vykradení bankovního účtu, Paypalu a podobně.

Win32/Bayrob řádil hlavně v bohatších koutech světa – v Evropě, Jižní Africe, Austrálii a na Novém Zélandě, což je logický důsledek faktu, že se snažil imitovat e-maily Amazonu

V této souvislosti je zajímavé, že z nějakého důvodu vůbec neútočil na další lukrativní trh – USA. Možná si chtěli tvůrci nejprve otestovat úspěšnost kampaně, vylepšit „nedostatky“ a k útoku dojde v dalších měsících tohoto roku. Uvidíme.

Právě kvůli velké popularitě jsou Apple produkty často zneužívány pro různé podvodné kampaně. Samozřejmě se to netýká jen produktů Apple, ale všech oblíbených, ale mnohdy nedostupných, věcí nebo služeb.

Podle welivesecurity.com je jednou z nejklasičtějších kampaní varianta, kdy se vám na internetové stránce (nově i na Facebooku) z ničeho nic objeví okno s dokonalou nabídkou na nový iPhone 6 nebo iPad zdarma.

Stačí pouze odpovědět na pár otázek nebo vyplnit dotazník a telefon/ tablet je váš.

Pokud se necháte nachytat, dostanete se do nekonečného kolečka dotazníku, reklam, které nejdou zavřít a pokusů vylákat z vás nějaké citlivé údaje. Například emailovou adresu, bydliště nebo třeba číslo mobilního telefonu.

Ty jsou potom prodány třetím stranám, většinou telemarketingovým společnostem, takže až vám zase zavolá nějaká neznámá společnost s nabídkou, která nejde odmítnout, a vy se divíte, kde vzali vaše číslo, mohlo se tak stát právě touto cestou.

Zatímco vyplňování nesmyslných průzkumů je pouze otravné, ale víceméně neškodné, při zadávání telefonního čísla je na místě větší opatrnost. Může se totiž stát, že nevědomky odsouhlasíte drahou mobilní službu typu prémiových SMS, které už vás připraví o reálné peníze. A to jistě nepotěší.

Nejhorším typem těchto kampaní je varianta, která má za cíl dostat na zařízení (PC, smartphone, tablet), ze kterého se připojujete, škodlivý kód.

Ochrana před tímto typem kampaní je velmi jednoduchá a v podstatě univerzálně použitelná i v reálném světě. Stačí nevěřit všem těm super, cool, jedinečným nabídkám, vždyť přeci úplně zadarmo už vám dnes nikdo nic nedá. A nový iPhone v hodnotě okolo 20 tisíc už vůbec ne.

Vše jsou to komplexní backdoory, tj. dovolují právě krádeže dat, často vzdálené připojení k napadenému počítači, spouštění a stahování dalších souborů.

Do seznamu patří mimo jiné i úprava stránek internetového bankovnictví – přidání informací o doporučení instalace bezpečnostní aplikace do telefonu (odpovedná za odchytávání potvrzovacích kódů pro platby).

Win32/TrojanDownloader.Zurgop.BK Trojan je druhý typ malware, který se šíří v těchto kampaních. Situace je prakticky stejná, jako u Elenoocky, jen stahuje jiné typy škodlivého kódu.

Vzhledem k množícím se případům zneužití bankovních účtů, doporučujeme pozorně filtrovat zprávy, u kterých si nejste jistí.

Nejedná se o první, ale určitě ani o poslední vlnu malware, který se snaží získat peníze z napadených počítačů. V žádném případě neinstalujte do telefonu aplikace, u kterých nevíte, odkud pochází.