Ostrzeżenie CSIRT KNF! Uwaga na oszustwa dotyczące kont użytkowników Facebooka! [14.07.2023]
„Uwaga! Cyberprzestępcy za pośrednictwem przejętych kont na portalu Facebook publikują fałszywe treści prowadzące do pobrania złośliwego oprogramowania, które wykorzystuje wizerunki popularnych rozwiązań AI.” – ostrzega CSIRT KNF.
W ostatnim czasie rośnie popularność czatów opartych na zaawansowanych modelach języka. Jednak ten trend przyciąga uwagę cyberprzestępców, którzy chcą wykorzystać mniej zaznajomionych z nowoczesnymi technologiami użytkowników. W naszym artykule przedstawiamy zagrożenie związane z złośliwym oprogramowaniem, które rozprzestrzenia się za pomocą reklam na Facebooku, podszywając się pod popularne chatboty i kradnie sesyjne ciasteczka użytkowników platformy.
„W ostatnim czasie sporą popularnością cieszą się czaty napędzane modelami językowymi. Ta rosnąca popularność to jednocześnie okazja dla przestępców, aby wykorzystać użytkowników mniej zorientowanych w nowych technologiach. W artykule opisujemy złośliwe oprogramowanie reklamowane na platformie Facebook, wykorzystujące wizerunki popularnych czatów, wykradające ciasteczka sesyjne użytkowników z tego serwisu.” – czytamy na stronie Urzędu Komisji Nadzoru Finansowego.
Jak to się odbywa?
Osoby zajmujące się cyberprzestępczością śledzą swoje potencjalne ofiary na Facebooku. Użytkownicy tej platformy zaczynają widzieć reklamy, które podstępnie udają Google Bard i ChatGPT. Po kliknięciu w taką reklamę, użytkownik zostaje przeniesiony na stronę, która została podmieniona i zmanipulowana:
„Przestępcy szukają swoich ofiar na platformie Facebook. Jej użytkownikom wyświetlają się reklamy podszywające się pod Google Bard i ChatGPT. Kliknięcie w taką reklamę przenosi użytkownika na fałszywą stronę” – czytamy w ostrzeżeniu.
Strony internetowe używane do rozpowszechniania złośliwego oprogramowania charakteryzują się podobnymi atrybutami: zawierają nazwę serwisu, hasło do archiwum oraz duży przycisk, który służy do inicjacji pobierania plików (dla celów hostingu wykorzystano domenę: trello[.]com).
Pliki, które zostają pobrane, są zabezpieczone i znajdują się w archiwach .rar. Hasło do nich można znaleźć zarówno na stronie, z której są pobierane, jak i w nazwie samego pliku.
Ten proceder prawdopodobnie ma na celu obejście skanerów antywirusowych, które nie są w stanie przejrzeć zawartości archiwów, których nie potrafią rozpakować. Z drugiej strony, może to także sprawić, że użytkownik poczuje się w błędnym przekonaniu, że pobrane pliki są bezpieczne.
W Krakowie w Pigułce pracuje na stanowisku redaktora. Zajmuje się tematami miejskimi. Lubi poznawać nowych ludzi i nowe miejsca.