Ostrzeżenie CSIRT KNF! Oszuści przejmują konta użytkowników Facebooka! [09.07.2023]
„Uwaga! Cyberprzestępcy za pośrednictwem przejętych kont na portalu Facebook publikują fałszywe treści prowadzące do pobrania złośliwego oprogramowania, które wykorzystuje wizerunki popularnych rozwiązań AI.” – informuje CSIRT KNF.
W ostatnim czasie rośnie popularność czatów opartych na zaawansowanych modelach języka. Jednak ten trend przyciąga uwagę cyberprzestępców, którzy chcą wykorzystać mniej zaznajomionych z nowoczesnymi technologiami użytkowników. W naszym artykule przedstawiamy zagrożenie związane z złośliwym oprogramowaniem, które rozprzestrzenia się za pomocą reklam na Facebooku, podszywając się pod popularne chatboty i kradnie sesyjne ciasteczka użytkowników platformy.
„W ostatnim czasie sporą popularnością cieszą się czaty napędzane modelami językowymi. Ta rosnąca popularność to jednocześnie okazja dla przestępców, aby wykorzystać użytkowników mniej zorientowanych w nowych technologiach. W artykule opisujemy złośliwe oprogramowanie reklamowane na platformie Facebook, wykorzystujące wizerunki popularnych czatów, wykradające ciasteczka sesyjne użytkowników z tego serwisu.” – czytamy na stronie Urzędu Komisji Nadzoru Finansowego.
Jak to działa?
Przestępcy internetowi śledzą swoje potencjalne ofiary na Facebooku. Użytkownicy tej platformy napotykają reklamy, które fałszywie podszywają się pod Google Bard i ChatGPT. Po kliknięciu w taką reklamę, użytkownik zostaje przeniesiony na stronę, która została podmieniona i poddana manipulacji:
„Przestępcy szukają swoich ofiar na platformie Facebook. Jej użytkownikom wyświetlają się reklamy podszywające się pod Google Bard i ChatGPT. Kliknięcie w taką reklamę przenosi użytkownika na fałszywą stronę” – czytamy w ostrzeżeniu.
Strony internetowe używane do rozpowszechniania złośliwego oprogramowania charakteryzują się podobnymi atrybutami: zawierają nazwę serwisu, hasło do archiwum oraz duży przycisk, który służy do inicjacji pobierania plików (dla celów hostingu wykorzystano domenę: trello[.]com).
Pliki, które zostają pobrane, są zabezpieczone i znajdują się w archiwach .rar. Hasło do nich można znaleźć zarówno na stronie, z której są pobierane, jak i w nazwie samego pliku.
Ten proceder prawdopodobnie ma na celu obejście skanerów antywirusowych, które nie są w stanie przejrzeć zawartości archiwów, których nie potrafią rozpakować. Z drugiej strony, może to także sprawić, że użytkownik poczuje się w błędnym przekonaniu, że pobrane pliki są bezpieczne.
Z zawodu językoznawca i tłumacz języka angielskiego. W redakcji od samego początku.