بواسطة
أحمد علاء
7/24/2013 9:59:00 PM
إنتشرت هذه الأيام عدة عمليات احتيالية Spam/Scam علي الفيسبوك(ويبدو أن تويتر لم يسلم هو الآخر) بشكل كبير وواسع وقع ضحية لها الكثير من المستخدمين وكانت تلك العمليات الاحتيالية من مصدر واحد وبتتبع مصدرها وتحليل تلك العملية الموسعة جيدا كانت موضوعات الروابط الإحتيالية تلك تستهدف فئة العرب عموما والمصريين خصوصا وكل فترة تتجدد العملية بموضوع جديد يجتذب العديد من المستخدمين ليقعوا ضحايا للاحتيال.
والخطورة في الأمر هو أن مصدر تلك العمليات يمكنه بكل بساطة الاستيلاء علي كافة بيانات حسابات الفيس بوك للضحايا وإعطائها أو بيعها إلي أي جهة ببساطة! كما أنه يتم إستخدام حسابات الضحايا لتسجيل إعجابات بالعديد من الصفحات علي الفيس بوك كما أن منفذ تلك العملية قادر علي إعادة نشر الروابط الاحتيالية عن طريق حسابات الضحايا بشكل تلقائي بكل سهولة والسيطرة شبه الكاملة علي حسابات الضحايا لفترة لا تقل عن 24 ساعة علي الأقل وتلك هي مدة انتهاء صلاحية الـ Access token الذي يستولي عليه من حسابات الضحايا في كل مرة وأيضا يستغل الضحايا في التربح من الإعلانات عن طريق Google adsense.
وهذا تحليل تقني لعمليات الاحتيال تلك Spam/Scam CaseStudy ( إذا كنت لا تهتم بالتحليل التقني لعملية الـ Spam/Scam فيمكنك الإطلاع مباشرة علي النصائح في نهاية الموضوع لتعرف كيف تتجنب تلك العمليات الاحتيالية علي أي حال )
هذه بعض العينات من العناوين المنتشرة لعملية الـ Spam/Scam (يستحسن ألا يتم التعامل معها أو يمكن إلقاء نظرة فقط):
أولا قام المهاجم بإستغلال خدمة المدونات Blogspot الخاصة بجوجل ثم قام باستخدام إسم نطاق Domain خاص به مرتبط بموقع تابع له أيضا (غالبا تم إختراقه والسيطرة عليه) يقوم بتمويه الروابط الحقيقية من خلاله وربما يستخدمه في إجراء احصائيات لعدد الضحايا وجمع بعض المعلومات الأخري وهذا مثال http://kollgded.com/access/new-token/redirect/?id=25 وعندما تدخل علي هذا الرابط سيتم تحويلك مباشرة إلي مدونة http://ahmedghannam4.blogspot.com تدعي أنها تقدم إستفتاءا علي عودة الرئيس السابق محمد مرسي للحكم وهذا استغلال للأزمات السياسية وبتتغيير رقم الـ id في الـ url السابق لقيمة غير الـ 25 تنحصر بين 16 و 90 يمكنك أن تستمتع بالكثير من مواضيع الإحتيال المتعددة الأنواع علي المستخدمين!
وهذه الصورة توضح الأمر:
ثم يقوم بإستغلال خدمات إختصار الروابط مثل tinyurl.com و cutt.us وis.gd لاختصار الروابط الاحتيالية عدة مرات متتابعة حيث يقوم باختصار الرابط الأساسي لإحدي المدونات التي يستخدمها لعملية احتيالية معينة ثم يقوم بتمويه الرابط من خلال استغلال الدومين الخاص به ثم يقوم باختصار الرابط عن طريق خدمات اختصار الروابط ثم يقوم باستغلال خدمة جوجل للترجمة لتمويه الرابط ثانية كما يلي :
http://translate.google.fr/translate?sl=fr&tl=ar&js=n&prev=_t&hl=fr&ie=UTF-8&u=http://tinyurl.com/*****
وعند الدخول علي رابط مثل الرابط السابق تقوم خدمة جوجل بالوصول للعنوان الأصلي للاختصار لترجمة الصفحة لكن الصفحة التي أنشأها المُهاجم يكون بها كود خبيث يؤدي إلي خداع خدمة جوجل للترجمة لتقوم بالتحويل لموقع معين Redirect وهذا مثال علي كود الجافاسكريبت الخبيث :
var _0xf164=["\\x72\\x65\\x70\\x6C\\x61\\x63\\x65\\x53\\x74\\x61\\x74\\x65","\\x68\\x69\\x73\\x74\\x6F\\x72\\x79","","\\x49\\x62\\x72\\x61\\x68\\x65\\x65\\x6D\\x4E\\x61\\x64\\x61\\x2E\\x68\\x74\\x6D\\x6C\\x23\\x5F\\x3D\\x5F"];setTimeout(function (){window[_0xf164[1]][_0xf164[0]]&&window[_0xf164[1]][_0xf164[0]]({},_0xf164[2],_0xf164[3]);} ,500);
وصيغة كود الجافاسكريبت هي HEX وعند تحويلها إلي ASCII ستكون:
var _0xf164=["replaceState","history","","IbraheemNada.html#_=_"];setTimeout(function (){window[_0xf164[1]][_0xf164[0]]&&window[_0xf164[1]][_0xf164[0]]({},_0xf164[2],_0xf164[3]);} ,500);
(ومما يثير التعجب هو أن منفذ تلك العمليات الاحتيالية وضع اسما لصفحة الويب الاحتيالية وهو IbraheemNada ربما هو اسمه أو مجرد اسم )
ثم يقوم ياختصار الرابط مرة ثانية وكل تلك هي طبقات حتي لا يُكشف الرابط الاحتيالي من قِبل المستخدمين ولا يتم حجب الروابط الاحتيالية عموما وخاصة عن طريق Facebook filtering sevice التي تقوم بحجب الروابط الاحتيالية والمشبوهة في الفيس بوك..
وعندما يدخل الضحية للمدونة يطلب منه بشكل مباشر أو غير مباشر أن يضغط علي زر وينسخ كود ما مدعيا أن هذه الخطوة مطلوبة للوصول لموضوع الرابط الاحتيالي لكن هذا الزر يستغل الـ Facebook APIs ليطلب Access token عن طريق استغلال تطبيق الفيس بوك للأندرويد ليحصل علي تلك الصلاحيات الخاصة بالـ Access token والصلاحيات التي يتم الحصول عليها كالتالي :
ads_management create_event create_note email export_stream manage_friendlists manage_groups manage_mailbox manage_notifications manage_pages offline_access photo_upload publish_actions publish_checkins publish_stream read_friendlists read_insights read_mailbox read_page_mailboxes read_requests read_stream rsvp_event share_item sms status_update video_upload xmpp_login
تقريبا يمكنه أن يفعل كل شيء عدا تغيير الباسوورد!
وبتحليل كود بعض صفحات الويب الاحتيالية التابعة لتلك العملية سنجد أن هذه العملية لها هدفين واضحين أولهما كسب الأموال عن طريق Google adsense وهذا هو الرقم التعريفي للحساب الخاص بالمُهاجم الذي يربح من خلاله الأموال عن طريق زيارات الضحايا : ca-pub-9709291835314701
وهذه قائمة من الصفحات التي يتم استخدام حسابات الضحايا لزيادة عدد المعجبين بها بالتأكيد وصفحات أخري خارج تلك القائمة بالإضافة إلي أنه يتم إرسال طلبات صداقة لحسابات معينة.. (ويمكنك فحص كود الصفحات الاحتيالية بنفسك لتتأكد) :
https://www.facebook.com/219119451569976
https://www.facebook.com/546860258683020
https://www.facebook.com/186894011477236
https://www.facebook.com/176718962504863
https://www.facebook.com/676061772411265
https://www.facebook.com/1398585233689326
https://www.facebook.com/186285238203613
https://www.facebook.com/326120287518796
https://www.facebook.com/131565913717365
https://www.facebook.com/565874223468857
https://www.facebook.com/594621447255325
https://www.facebook.com/El.Oreby.Stores
https://www.facebook.com/sout.domyat
https://www.facebook.com/177285285775995
https://www.facebook.com/479910045430212
https://www.facebook.com/MESHOzaYD
https://www.facebook.com/1397660427116924
https://www.facebook.com/asa7pe.show
https://www.facebook.com/ramez.3an5amon.lovers
https://www.facebook.com/492615330805224
https://www.facebook.com/TANTWYA
https://www.facebook.com/198775216953113
https://www.facebook.com/BouDiiGFX
https://www.facebook.com/585697134814231
https://www.facebook.com/Ahlyfans2
https://www.facebook.com/ahlawwwwwwwy11
https://www.facebook.com/161392417305910
https://www.facebook.com/386383294815820
https://www.facebook.com/261670887266389
https://www.facebook.com/300944170036893
https://www.facebook.com/195810040560201
https://www.facebook.com/322042307867781
https://www.facebook.com/559749527422676
https://www.facebook.com/173583739482866
https://www.facebook.com/260149650680410
https://www.facebook.com/192174667595106
https://www.facebook.com/190256381141492
https://www.facebook.com/138776879648820
https://www.facebook.com/128317627371949
https://www.facebook.com/391600967562264
https://www.facebook.com/123677281117109
https://www.facebook.com/501991033191849
https://www.facebook.com/198996940202782
https://www.facebook.com/193368560756096
https://www.facebook.com/421018484616094
https://www.facebook.com/423728394390138
https://www.facebook.com/186165991489202
https://www.facebook.com/418991884853941
https://www.facebook.com/418991884853941
https://www.facebook.com/180937375375144
https://www.facebook.com/130909130347089
https://www.facebook.com/190793971076469
https://www.facebook.com/147491032119482
https://www.facebook.com/156360251207991
https://www.facebook.com/samhny.haansak
https://www.facebook.com/193432530718603
https://www.facebook.com/161337497252970
https://www.facebook.com/590538530996194
https://www.facebook.com/138361096337803
https://www.facebook.com/566598486704641
https://www.facebook.com/268079383271015
https://www.facebook.com/423034867706869
https://www.facebook.com/216421595174258
https://www.facebook.com/359297854192536
https://www.facebook.com/459745134138603
https://www.facebook.com/120433014764358
https://www.facebook.com/211253509029497
https://www.facebook.com/385112408264853
https://www.facebook.com/495395173864858
https://www.facebook.com/539027646156914
https://www.facebook.com/182832445060638
https://www.facebook.com/295551657239786
https://www.facebook.com/103963089695209
https://www.facebook.com/496442280392597
https://www.facebook.com/604404176250248
https://www.facebook.com/158420220892650
https://www.facebook.com/181212025389159
https://www.facebook.com/483517665055501
https://www.facebook.com/492906424096441
https://www.facebook.com/154221638103649
https://www.facebook.com/rabkmalah
https://www.facebook.com/242192959257029
https://www.facebook.com/541231942600841
https://www.facebook.com/378006232298933
https://www.facebook.com/344341572363182
https://www.facebook.com/592150057472382
https://www.facebook.com/130909130347089
https://www.facebook.com/275833849225992
https://www.facebook.com/138361096337803
https://www.facebook.com/438062289556686
https://www.facebook.com/161840170530210
https://www.facebook.com/182129508623374
https://www.facebook.com/161840170530210
https://www.facebook.com/DatsMyGoaL
---------------
نصائح لتجنب العمليات الاحتيالية Spam/Scam :
1- يجب الحذر من الروابط المختصرة ومن المستحسن قبل الدخول علي أحدها أن يتم استخدام إحدي خدمات إلغاء الاختصار مثل www.unshort.me حيث يمكن معرفة الرابط الأصلي قبل اختصاره.
2- استخدم خدمات مثل WOT وهي اضافة للمتصفح تظهر علامة بجانب أي رابط في المتصفح يعبر عن مدي موثوقيته بناءا علي آراء المستخدمين.
3-يمكنك استخدام خدمة Virustotal التابعة لجوجل لفحص الروابط الضارة أو الاحتيالية وسيتم إجراء فحص للروابط من عدة مصادر للفحص لكن الفحص لن يكون دقيقا جدا.
4- يجب الانتباه لموضوع الموقع أو الصفحة التي يتم زيارتها والمتطلبات التي تطلبها الصفحة فمثلا لو كنت تزور موقع لإجراء تصويت ما فما علاقة التصويت بنسخ رابط ما ولصقه في الصفحة مثل عملية الاحتيال السابقة.
5- يجب الانتباه لعنوان موقع الويب الذي يتم التعامل معه فربما ينتحل الموقع صفة موقع آخر لخداع المستخدمين وهو ما يُعرف بـ Phishing وهو يندرج تحت الـ Spam/Scam
6- راجع عنوان الـ URL للمواقع التي تزورها في حال كنت علي وشك إجراء عملية مهمة مثل تحويل الأموال أو كتابة بيانات تسجيل دخول معينة..إلخ ولاحظ العنوان جيدا في حالة أن وجدت كلمات غريبة مثل script أو onload أو onerror أو ماشابه.. لأن تلك الكلمات تستخدم في حالة وجود ثغرة XSS (Cross Site Scripting) في موقع ما..
7- لا تقم بالضغط علي أية روابط من خلال البريد الالكتروني إلا بعد التأكد من هوية مرسل البريد الحقيقية عن طريق مراجعة عنوان المرسل لكن حتي عنوان بريد المرسل قد يتم تزويره لهذا يُنصح بالإطلاع علي هذا الدرس لمعرفة كيفية اكتشاف التزوير : http://goo.gl/FHY3w
8- في حالة شاهدت إعلانا لعرض فوق الخيال ولا يُصدق (مثل توزيع كروت شحن مجانية!) أو خبرا غريبا جدا غير متوقع (مثل غزو الفضائيين للكرة الأرضية) فيجب الانتباه في تلك الحالة لأن الـ Spam/Scammers يستخدمون هذه الأساليب لاجتذاب الناس والإيقاع بهم.
9- في حالة تم خداعك ومعرفة معلومات عن حساباتك فقم بتغيير بيانات حسابك التي تم الاستيلاء عليها بأسرع ما يمكن إن كان هذا ممكنا وراسل الدعم الفني في حالة لم تستطع استرجاع حسابك أو في حال وجود مشكلة ما.
10- لا تضغط علي أية روابط في رسائلك في المواقع الاجتماعية مثل الفيسبوك إلا من أشخاص موثوق بهم بعد التأكد من هويتهم فربما تم اختراق حساباتهم وكذلك التأكد من أنهم فعلا هم من أرسلوا الروابط عن قصد وقم بكافة النصائح السابقة لتجنب الوقوع ضحية لعملية Spam/Scam.
