عمليات Spam/Scam واسعة تستهدف حسابات الفيس بوك للمصريين والعرب

بواسطة أحمد علاء 7/25/2013 12:59:00 AM

إنتشرت هذه الأيام عدة عمليات احتيالية Spam/Scam علي الفيسبوك(ويبدو أن تويتر لم يسلم هو الآخر) بشكل كبير وواسع وقع ضحية لها الكثير من المستخدمين وكانت تلك العمليات الاحتيالية من مصدر واحد وبتتبع مصدرها وتحليل تلك العملية الموسعة جيدا كانت موضوعات الروابط الإحتيالية تلك تستهدف فئة العرب عموما والمصريين خصوصا وكل فترة تتجدد العملية بموضوع جديد يجتذب العديد من المستخدمين ليقعوا ضحايا للاحتيال.

والخطورة في الأمر هو أن مصدر تلك العمليات يمكنه بكل بساطة الاستيلاء علي كافة بيانات حسابات الفيس بوك للضحايا وإعطائها أو بيعها إلي أي جهة ببساطة! كما أنه يتم إستخدام حسابات الضحايا لتسجيل إعجابات بالعديد من الصفحات علي الفيس بوك كما أن منفذ تلك العملية قادر علي إعادة نشر الروابط الاحتيالية عن طريق حسابات الضحايا بشكل تلقائي بكل سهولة والسيطرة شبه الكاملة علي حسابات الضحايا لفترة لا تقل عن 24 ساعة علي الأقل وتلك هي مدة انتهاء صلاحية الـ Access token الذي يستولي عليه من حسابات الضحايا في كل مرة وأيضا يستغل الضحايا في التربح من الإعلانات عن طريق Google adsense.

وهذا تحليل تقني لعمليات الاحتيال تلك Spam/Scam CaseStudy ( إذا كنت لا تهتم بالتحليل التقني لعملية الـ Spam/Scam فيمكنك الإطلاع مباشرة علي النصائح في نهاية الموضوع لتعرف كيف تتجنب تلك العمليات الاحتيالية علي أي حال )

هذه بعض العينات من العناوين المنتشرة لعملية الـ Spam/Scam (يستحسن ألا يتم التعامل معها أو يمكن إلقاء نظرة فقط):

http://is.gd/vv0ZjO

http://is.gd/T9by2h

http://is.gd/nr5jAe

http://tinyurl.com/k8wkdpq

http://tinyurl.com/k754f2r

http://tinyurl.com/q866eh3

http://cutt.us/AMDr

 http://cutt.us/FCXq


أولا قام المهاجم بإستغلال خدمة المدونات Blogspot الخاصة بجوجل ثم قام باستخدام إسم نطاق Domain خاص به مرتبط بموقع تابع له أيضا (غالبا تم إختراقه والسيطرة عليه) يقوم بتمويه الروابط الحقيقية من خلاله وربما يستخدمه في إجراء احصائيات لعدد الضحايا وجمع بعض المعلومات الأخري وهذا مثال http://kollgded.com/access/new-token/redirect/?id=25 وعندما تدخل علي هذا الرابط سيتم تحويلك مباشرة إلي مدونة http://ahmedghannam4.blogspot.com تدعي أنها تقدم إستفتاءا علي عودة الرئيس السابق محمد مرسي للحكم وهذا استغلال للأزمات السياسية وبتتغيير رقم الـ id في الـ url السابق لقيمة غير الـ 25 تنحصر بين 16 و 90 يمكنك أن تستمتع بالكثير من مواضيع الإحتيال المتعددة الأنواع علي المستخدمين!

وهذه الصورة توضح الأمر:

استفتاء

ثم يقوم بإستغلال خدمات إختصار الروابط مثل tinyurl.com و cutt.us وis.gd لاختصار الروابط الاحتيالية عدة مرات متتابعة حيث يقوم باختصار الرابط الأساسي لإحدي المدونات التي يستخدمها لعملية احتيالية معينة ثم يقوم بتمويه الرابط من خلال استغلال الدومين الخاص به ثم يقوم باختصار الرابط عن طريق خدمات اختصار الروابط ثم يقوم باستغلال خدمة جوجل للترجمة لتمويه الرابط ثانية كما يلي :

 

http://translate.google.fr/translate?sl=fr&tl=ar&js=n&prev=_t&hl=fr&ie=UTF-8&u=http://tinyurl.com/*****

وعند الدخول علي رابط مثل الرابط السابق تقوم خدمة جوجل بالوصول للعنوان الأصلي للاختصار لترجمة الصفحة لكن الصفحة التي أنشأها المُهاجم يكون بها كود خبيث يؤدي إلي خداع خدمة جوجل للترجمة لتقوم بالتحويل لموقع معين Redirect وهذا مثال علي كود الجافاسكريبت الخبيث :

var _0xf164=["\\x72\\x65\\x70\\x6C\\x61\\x63\\x65\\x53\\x74\\x61\\x74\\x65","\\x68\\x69\\x73\\x74\\x6F\\x72\\x79","","\\x49\\x62\\x72\\x61\\x68\\x65\\x65\\x6D\\x4E\\x61\\x64\\x61\\x2E\\x68\\x74\\x6D\\x6C\\x23\\x5F\\x3D\\x5F"];setTimeout(function (){window[_0xf164[1]][_0xf164[0]]&&window[_0xf164[1]][_0xf164[0]]({},_0xf164[2],_0xf164[3]);} ,500);

وصيغة كود الجافاسكريبت هي HEX وعند تحويلها إلي ASCII ستكون:

var _0xf164=["replaceState","history","","IbraheemNada.html#_=_"];setTimeout(function (){window[_0xf164[1]][_0xf164[0]]&&window[_0xf164[1]][_0xf164[0]]({},_0xf164[2],_0xf164[3]);} ,500);

(ومما يثير التعجب هو أن منفذ تلك العمليات الاحتيالية وضع اسما لصفحة الويب الاحتيالية وهو IbraheemNada ربما هو اسمه أو مجرد اسم )

ثم يقوم ياختصار الرابط مرة ثانية وكل تلك هي طبقات حتي لا يُكشف الرابط الاحتيالي من قِبل المستخدمين ولا يتم حجب الروابط الاحتيالية عموما وخاصة عن طريق Facebook filtering sevice التي تقوم بحجب الروابط الاحتيالية والمشبوهة في الفيس بوك.. 

وعندما يدخل الضحية للمدونة يطلب منه بشكل مباشر أو غير مباشر أن يضغط علي زر وينسخ كود ما مدعيا أن هذه الخطوة مطلوبة للوصول لموضوع الرابط الاحتيالي لكن هذا الزر يستغل الـ Facebook APIs ليطلب Access token عن طريق استغلال تطبيق الفيس بوك للأندرويد ليحصل علي تلك الصلاحيات الخاصة بالـ Access token والصلاحيات التي يتم الحصول عليها كالتالي :

ads_management create_event create_note email export_stream manage_friendlists manage_groups manage_mailbox manage_notifications manage_pages offline_access photo_upload publish_actions publish_checkins publish_stream read_friendlists read_insights read_mailbox read_page_mailboxes read_requests read_stream rsvp_event share_item sms status_update video_upload xmpp_login

تقريبا يمكنه أن يفعل كل شيء عدا تغيير الباسوورد!

وبتحليل كود بعض صفحات الويب الاحتيالية التابعة لتلك العملية سنجد أن هذه العملية لها هدفين واضحين أولهما كسب الأموال عن طريق Google adsense وهذا هو الرقم التعريفي للحساب الخاص بالمُهاجم الذي يربح من خلاله الأموال عن طريق زيارات الضحايا : ca-pub-9709291835314701 

وهذه قائمة من الصفحات التي يتم استخدام حسابات الضحايا لزيادة عدد المعجبين بها بالتأكيد وصفحات أخري خارج تلك القائمة بالإضافة إلي أنه يتم إرسال طلبات صداقة لحسابات معينة.. (ويمكنك فحص كود الصفحات الاحتيالية بنفسك لتتأكد) :

 

https://www.facebook.com/219119451569976

https://www.facebook.com/546860258683020

https://www.facebook.com/186894011477236

https://www.facebook.com/176718962504863

https://www.facebook.com/676061772411265

https://www.facebook.com/1398585233689326

https://www.facebook.com/186285238203613

https://www.facebook.com/326120287518796

https://www.facebook.com/131565913717365

https://www.facebook.com/565874223468857

https://www.facebook.com/594621447255325

https://www.facebook.com/El.Oreby.Stores

https://www.facebook.com/sout.domyat

https://www.facebook.com/177285285775995

https://www.facebook.com/479910045430212

https://www.facebook.com/MESHOzaYD

https://www.facebook.com/1397660427116924

https://www.facebook.com/asa7pe.show

https://www.facebook.com/ramez.3an5amon.lovers

https://www.facebook.com/492615330805224

https://www.facebook.com/TANTWYA

https://www.facebook.com/198775216953113

https://www.facebook.com/BouDiiGFX

https://www.facebook.com/585697134814231

https://www.facebook.com/Ahlyfans2

https://www.facebook.com/ahlawwwwwwwy11

https://www.facebook.com/161392417305910

https://www.facebook.com/386383294815820

https://www.facebook.com/261670887266389

https://www.facebook.com/300944170036893

https://www.facebook.com/195810040560201

https://www.facebook.com/322042307867781

https://www.facebook.com/559749527422676

https://www.facebook.com/173583739482866

https://www.facebook.com/260149650680410

https://www.facebook.com/192174667595106

https://www.facebook.com/190256381141492

https://www.facebook.com/138776879648820

https://www.facebook.com/128317627371949

https://www.facebook.com/391600967562264

https://www.facebook.com/123677281117109

https://www.facebook.com/501991033191849

https://www.facebook.com/198996940202782

https://www.facebook.com/193368560756096

https://www.facebook.com/421018484616094

https://www.facebook.com/423728394390138

https://www.facebook.com/186165991489202

https://www.facebook.com/418991884853941

https://www.facebook.com/418991884853941

https://www.facebook.com/180937375375144

https://www.facebook.com/130909130347089

https://www.facebook.com/190793971076469

https://www.facebook.com/147491032119482

https://www.facebook.com/156360251207991

https://www.facebook.com/samhny.haansak

https://www.facebook.com/193432530718603

https://www.facebook.com/161337497252970

https://www.facebook.com/590538530996194

https://www.facebook.com/138361096337803

https://www.facebook.com/566598486704641

https://www.facebook.com/268079383271015

https://www.facebook.com/423034867706869

https://www.facebook.com/216421595174258

https://www.facebook.com/359297854192536

https://www.facebook.com/459745134138603

https://www.facebook.com/120433014764358

https://www.facebook.com/211253509029497

https://www.facebook.com/385112408264853

https://www.facebook.com/495395173864858

https://www.facebook.com/539027646156914

https://www.facebook.com/182832445060638

https://www.facebook.com/295551657239786

https://www.facebook.com/103963089695209

https://www.facebook.com/496442280392597

https://www.facebook.com/604404176250248

https://www.facebook.com/158420220892650

https://www.facebook.com/181212025389159

https://www.facebook.com/483517665055501

https://www.facebook.com/492906424096441

https://www.facebook.com/154221638103649

https://www.facebook.com/rabkmalah

https://www.facebook.com/242192959257029

https://www.facebook.com/541231942600841

https://www.facebook.com/378006232298933

https://www.facebook.com/344341572363182

https://www.facebook.com/592150057472382

https://www.facebook.com/130909130347089

https://www.facebook.com/275833849225992

https://www.facebook.com/138361096337803

https://www.facebook.com/438062289556686

https://www.facebook.com/161840170530210

https://www.facebook.com/182129508623374

https://www.facebook.com/161840170530210

https://www.facebook.com/DatsMyGoaL

---------------
نصائح لتجنب العمليات الاحتيالية Spam/Scam :

1- يجب الحذر من الروابط المختصرة ومن المستحسن قبل الدخول علي أحدها أن يتم استخدام إحدي خدمات إلغاء الاختصار مثل www.unshort.me حيث يمكن معرفة الرابط الأصلي قبل اختصاره.

2- استخدم خدمات مثل WOT وهي اضافة للمتصفح تظهر علامة بجانب أي رابط في المتصفح يعبر عن مدي موثوقيته بناءا علي آراء المستخدمين.

3-يمكنك استخدام خدمة Virustotal التابعة لجوجل لفحص الروابط الضارة أو الاحتيالية وسيتم إجراء فحص للروابط من عدة مصادر للفحص لكن الفحص لن يكون دقيقا جدا.

4- يجب الانتباه لموضوع الموقع أو الصفحة التي يتم زيارتها والمتطلبات التي تطلبها الصفحة فمثلا لو كنت تزور موقع لإجراء تصويت ما فما علاقة التصويت بنسخ رابط ما ولصقه في الصفحة مثل عملية الاحتيال السابقة.

5- يجب الانتباه لعنوان موقع الويب الذي يتم التعامل معه فربما ينتحل الموقع صفة موقع آخر لخداع المستخدمين وهو ما يُعرف بـ Phishing وهو يندرج تحت الـ Spam/Scam

6- راجع عنوان الـ URL للمواقع التي تزورها في حال كنت علي وشك إجراء عملية مهمة مثل تحويل الأموال أو كتابة بيانات تسجيل دخول معينة..إلخ ولاحظ العنوان جيدا في حالة أن وجدت كلمات غريبة مثل script أو onload أو onerror أو ماشابه.. لأن تلك الكلمات تستخدم في حالة وجود ثغرة XSS (Cross Site Scripting) في موقع ما..

7- لا تقم بالضغط علي أية روابط من خلال البريد الالكتروني إلا بعد التأكد من هوية مرسل البريد الحقيقية عن طريق مراجعة عنوان المرسل لكن حتي عنوان بريد المرسل قد يتم تزويره لهذا يُنصح بالإطلاع علي هذا الدرس لمعرفة كيفية اكتشاف التزوير : http://goo.gl/FHY3w

8- في حالة شاهدت إعلانا لعرض فوق الخيال ولا يُصدق (مثل توزيع كروت شحن مجانية!) أو خبرا غريبا جدا غير متوقع (مثل غزو الفضائيين للكرة الأرضية) فيجب الانتباه في تلك الحالة لأن الـ Spam/Scammers يستخدمون هذه الأساليب لاجتذاب الناس والإيقاع بهم.

9- في حالة تم خداعك ومعرفة معلومات عن حساباتك فقم بتغيير بيانات حسابك التي تم الاستيلاء عليها بأسرع ما يمكن إن كان هذا ممكنا وراسل الدعم الفني في حالة لم تستطع استرجاع حسابك أو في حال وجود مشكلة ما.

10- لا تضغط علي أية روابط في رسائلك في المواقع الاجتماعية مثل الفيسبوك إلا من أشخاص موثوق بهم بعد التأكد من هويتهم فربما تم اختراق حساباتهم وكذلك التأكد من أنهم فعلا هم من أرسلوا الروابط عن قصد وقم بكافة النصائح السابقة لتجنب الوقوع ضحية لعملية Spam/Scam.