Echipa CERT-RO alerta în cursul zilei de ieri utilizatorii serviciului de mesagerie WhatsApp cu privire la o campanie de tip spam/phishing ce se propagă prin intermediul reţelei. “În urma multitudinii de mesaje venite din partea utilizatorilor, am analizat această campanie şi am oferit câteva sfaturi de bază pe care utilizatorul obişnuit trebuie să le ia în considerare atunci când activează în mediul online
Recent, utilizatorii bine-cunoscutei aplicaţii de mesagerie WhatsApp sunt vizaţi de o campanie de phishing al cărui scop este de a-i determina pe aceştia să se aboneze la diferite servicii taxate prin SMS, să instaleze malware pe dispozitivul mobil sau să comande anumite produse „minune” de slăbit în timp record.
Mesajul iniţial care este primit de utilizatori este următorul:
„!!! Aplicaţia WhatApp va costa 0.01 $ pentru fiecare mesaj trimis. Trebuie să confirmaţi profilul pentru a continua să îl utilizaţi GRATUIT! Activaţi profilul dvs. aici http://whatapp.us/Activati/Romania/”
După cum se observă, textul este în limba Română şi conţine diacritice, ceea ce înseamnă că această campanie a fost adaptată astfel încât să atragă utilizatorii din România. Cu toate acestea, există destule elemente care ar trebui să-i ajute pe utilizatori să-şi dea seama că mesajul reprezintă o păcăleală şi nu ar trebui să acceseze URL-ul indicat, precum:
Denumirea reală a aplicaţiei este Whatsapp (nu WhatApp);
Link-ul conţine domeniul „whatapp.us”, în timp ce domeniul web real este „whatsapp.com”;
Mesajul este trimis de la un număr de telefon obişnuit (posibil chiar de la un număr salvat în agenda de contacte).
În cazul în care se accesează URL-ul de mai sus, utilizatorul este redirecţionat către o altă pagină web ce conţine un mesaj similar, noul URL conţinând un atribut denumit „volum data” a cărui valoare este un şir de caractere de tip Base64 de forma (variază în funcţie de dispozitiv şi browser)
Utilizatorul este redirecţionat
Prin decodarea porţiunii de text Base64 se observă că de fapt este vorba despre un şir de parametri cu anumite valori, care cel mai probabil reprezintă o serie de date de identificare aferente campaniei (ID campanie) şi despre potenţialele victime (ID victimă, dispozitiv, browser etc.):
În continuare, accesarea butonului „Începeţi verificarea” conduce la o nouă pagină web cu instrucţiuni, având URL-ul http://whatapp.us/Activati/ro/ro2.html.
Verificare profil
După cum se observă şi în imaginea precedentă, în această pagină utilizatorul este îndemnat să urmeze un set de instrucţiuni ce implică accesarea următoarelor două butoane:
„Contacte” – la accesare se deschide automat aplicaţia WhatsApp în meniul de selectare a contactelor către care urmează a se trimite un mesaj. Practic, dacă se urmăresc instrucţiunile, utilizatorul va trimite mesajul de phishing şi către alţi utilizatori din agenda telefonului (acelaşi mecanism prin care fost primit mesajul);
„Confirmare” – la accesare, în funcţie de anumiţi parametri, utilizatorul este direcţionat către diferite tipuri de pagini web care promovează: abonarea la servicii taxate prin SMS, cumpărarea de produse de slăbit, descărcarea de false actualizări ale unor aplicaţii, participarea la chestionare cu premii false (utilizatorii sunt îndemnaţi să trimită datele personale şi să trimită SMS-uri cu taxă) etc.
CERT-RO vă recomandă să:
Fiţi suspicios dacă primiţi un SMS sau un apel telefonic de la o companie care vă solicită informaţii personale. Puteţi verifica dacă mesajul/apelul este legitim prin apelarea directă a companiei la numărul lor oficial.
Atunci când navigaţi pe web de pe dispozitivul dvs. asiguraţi-vă că această conexiune este securizată prin HTTPS. Puteţi verifica întotdeauna acest lucru la începutul adresei URL. Ex: https://cert.ro
Nu faceţi niciodată clic pe un link/o anexă dintr-un e-mail sau SMS nesolicitat. Ştergeţi-l imediat!
Aveţi grijă dacă accesaţi o pagină web care conţine greşeli gramaticale, greşeli de ortografie sau cu rezoluţie mică.
Dacă este disponibilă, instalaţi o soluţie antivirus. Astfel în multe dintre cazuri vă va alerta cu privire la activităţi suspicioase” informează Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO.
