Gigantul în securitate informatică Kaspersky a avertizat încă de la începutul anului 2020 în legătură cu apariția unui soft rău intenționat extrem de periculos. Metoda constă în furtul cookie-urilor aferente platformelor sociale. Ulterior, hoții virtuali controlează conturile de Facebook de la distanță, cu scopul de a răspândi conținut rău-intenționat, informează ziare.com.
Cookie-urile sunt bucăți de cod, date colectate de site-urile web în scopul de a personaliza experiența utilizatorului în viitor. Teoretic, scurtează timpul de accesare a unui site. Ajunse în mâini greșite, cookie-urile reprezintă totuși un uriaș risc de securitate. Asta deoarece, atunci când site-urile web stochează aceste cookie-uri, folosesc o sesiune unică de identificare care autorizează apoi utilizatorul pe respectivul site fară să fie nevoie de parolă sau alți pași suplimentari.
În acest punct intervine un soft de tipul de „The Old Interface”. Concepută sub forma unei extensii care trebuie instalată și activată în browser-ul Google Chrome, aplicația se adresează celor nemulțumiți de interfața recent schimbată a Facebook-ului. Odată activată, extensia chiar funcționează, oferind utilizatorului functionalitățile și design-ul existent înainte de 1 octombrie.
În același timp, hackerii care au conceput-o introduc un Troian în calculatorului subiectului care mimează codul autorizat conceput pentru colectarea cookie-urilor. În plus, codul rău-intenționat este trimis din același server de comandă și control care operează și codul oficial. Acest prim Troian permite furtul cookie-urilor aferente Facebook și trimiterea acestora în bazele de date ale hoților.
Cu toate acestea, există site-uri care iau măsuri suplimentare de protecție și împiedică autentificări suspecte în locații diferite (una în Canada și următoarea în Pakistan, de exemplu, la un interval foarte scurt de timp).
Din acest motiv, extensia rău-intenționată instalată pe calculatorul victimei lansează un alt doilea virus, Troian – în termenii de specialitate, care simulează o locație falsă – printr-un server proxy activat în programul de operare, fară știrea proprietarului, explică experții în securitate informatică de la Kaspersky.
Practic, hackerul poate intra simultan pe contul de Facebook, odată cu proprietarul real al contului, fară că acesta din urmă să-și dea seama.
Scopul principal al hoților pare a fi controlul conturilor de Facebook și nu furtul, eventual, al datelor de identificare pentru platforme financiare. Una dintre țintele predilecte ale operatorilor acestei scheme infracționale sunt administratorii de pagini de Facebook. Odată în control pe aceste conturi, hoții pot programa, cu banii din conturile de ad, campanii de publicitate masive pentru promovarea aceluiași soft rău-intenționat.
Unul dintre românii care s-au trezit cu contul furat a descoperit în pagina administrată o campanie de promovare programată inclusiv pe Instagram, cu un cost total de 3.000 de dolari. Detaliile campaniei indicau că hoții țintesc cu predilecție clienți din Statele Unite, Europa, Canada și Australia.
Pe lista tarilor excluse pentru difuzarea reclamelor au apărut Pakistan, Rusia și Ucraina, ceea ce indica faptul că gruparea infracțională operează dintr-unul din aceste state. În plus, este posibil ca gruparea infracțională să fie implicată în influențarea alegerilor prezidențiale din SUA, într-o tentativă de a controla cât mai multe conturi de pe care să lanseze mesaje rău-intenționate.
Ce puteți face dacă deja ați instalat extensia „The Old Interface”:
- Dezinstalati programul de urgență;
- La fel de urgent trebuie să verificați jurnalul login-urilor în Facebook. O puteți face urmând secvența Account (săgeată în jos din colțul din dreapta sus al paginii de Facebook) – Settings&Privacy – Settings – Security and Login – Where You’re Logged In. Dezactivați orice eventuală conexiune străină de locul în care vă aflați;
- Deconectați-vă și reconectati-vă în contul de Facebook;
Primii trei pasi ar trebui „să ucidă” controlul hackerului asupra contului de Facebook. Acest lucru se întâmplă în momentul dezactivării extensiei, delogării hoțului din Facebook și deconectării din cont. Practic, odată îndepărtat și din cont, hoțul virtual nu mai poate lansa o nouă sesiune de colectare de cookie-uri. Cele furate inițial nu mai sunt valabile după deconectare.
- Pentru siguranță deplină, ar putea fi schimbată parola de Facebook și aleasă autentificarea în doi pasi (metoda este explicată în setările Facebook);
- Blocați accesul „third-party” către cookie-uri pe browser-ul de pe telefonul mobil. Și setați ca datele de navigare să fie șterse la finalul sesiunii de navigare;
- Curățați periodic cookie-urile din calculator;
- Folosiți sesiuni de „private browsing”.
„Metoda de furt este foarte greu de detectat de către browsere, motiv pentru care, cel mai probabil, vă face din ce în ce mai multe victime”, declara Igor Golovin, expert în malware.
