Bezpečnostní novinky

Podvodníci lákají své oběti na příliš dobré nabídky: Jak podvod poznat?

Threat Intelligence Team, 1. červenec 2020

Nenechte se nachytat. Neklikejte na webové stránky, které inzerují až příliš dobré nabídky

Mezi nejpoužívanější vyhledávače dnešní doby patří Google, Bing, Yahoo, Yandex nebo Baidu, u nás nepochybně například také Seznam. Většina uživatelů při vyhledávání nehledá dál než do druhé nebo třetí stránky výsledků vyhledávání, a proto se většina webů snaží do prvních stran dostat. Používají k tomu optimalizaci webových stránek, tedy SEO (Search Engine Optimization), dobrá hodnocení, Mapy Google a optimalizovaný je i samotný obsah webů. Spojení těchto několika metod jim dokáže zajistit vysokou příčku ve výsledcích vyhledávání. A společnosti i soukromníci jsou tak o krok blíže k získání zákazníka.

Podvodníkům ale tato metoda bohužel také není neznámá. Uvědomili si, že mohou využít technik SEO, aby své oběti přivedli na jejich web právě díky vysokému umístění ve výsledcích vyhledávání. Většina uživatelů ani neočekává, že by jim mohl vyhledávač nabídnout škodlivý obsah. Jenže nalezena webová stránka vyhledávačem může nakonec vést na úplně jiný web, kde je uživateli předhozen obsah který si nepřál. Příkladem může být stránka, která informuje svého návštěvníka o tom, že vyhrál nový iPhone. Po zadání náležité fráze může odkaz na takovou stránku čekat právě i na vás.

 

Jak podvod funguje? 

Všechno začíná jednoduchým vyhledáváním. Když zadáte správná klíčová slova, výsledky vašeho vyhledávání mohou obsahovat i podvodné webové stránky. 

Příkladem je toto vyhledávání: 

scam-v-siti-1

 

Klíčová slova vyhledávání byla jednoduchá: film online titulky ceske. Vyhledávač jasně věděl, o co žádáme. Podvodníci také, proto hned jeden z prvních výsledků odkazuje na podvodný web. Pravděpodobně je právě film V síti jeden z nejvyhledávanějších filmů v Čechách a na Slovensku v poslední době, a proto je to také film, který kyberzločinci pro svou stránku zvolili. Když na stránku kliknete, nabídne vám informace o filmu a ukázku z něj. Důvodem není, že by vám kyberzločinec chtěl poskytnou reálnou hodnotu, ale může za to právě optimalizace pro vyhledávání. Tato stránka dokázala jeho výsledek dostat hned na první stránku ve výsledcích vyhledávání. Plní tak svůj účel. Můžeme ale vidět, že celý film nám stránka nenabízí. Musíme kliknout na další odkaz, kde by měl být film ke stažení či zhlédnutí.

 

scam-v-siti-2
Odkaz, na kterém by se měl film skrývat, vás ale zavede na tuto webovou stránku:

scam-v-siti

Stránka je jasně podvodná. V úplně jiném jazyce slibuje, že když vyplníte své údaje, na film se budete moci zdarma podívat. Ve skutečnosti jí jde ale pouze o získání vašich osobních údajů a informací, které by následně podvodníci zneužili. 

Podvodné stránky obvykle fungují na stejném principu. Snaží se být nanejvýš optimalizované pro vyhledávání, proto na první stránce máme popis filmu, jeho ukázku i s veškerými detaily. U dalšího příkladu je hlavním cílem nalákat uživatele kliknout ve výsledcích vyhledávání a následně přejít na jejich web, kde už se o zbytek postarají automatické skripty. I když se webová stránka prezentuje pro vyhledávač jako seznam, ve skutečnosti toto je nutné pouze pro účely indexování pro vyhledávače. 

seznam-hledani

Uživatel je ale automaticky přesměrován na zcela jinou doménu, kde je mu předložen obsah na základě různých parametrů. 

seznam-hledani-vyhledavac

Jednoduchý vzhled stránky, kde vidíme jen obrázky a text, není určen pro oči návštěvníka stránky. Důvod vzniku tohoto webu se ukrývá, tak jako vždy, ve zdrojovém kódu. 

zdrojovy-kodFalešné hodnocení webu

Na první pohled můžeme vidět, že tvůrce pomocí kódu nafingoval výborná hodnocení svého produktu. Toto hodnocení vůbec neodkazuje na skutečné recenze uživatelů a je zde pouze pro zviditelnění se mezi ostatními výsledky vyhledávání a upoutání pozornosti uživatele.

U zdrojového kódu je použito maskování pomocí různých obfuskačních metod, aby se zamezilo jak jeho ručnímu čtení, tak i jeho následné detekci antivirovými produkty. 

Obfuskátor zdrojového kódu se využívá pro mnoho různých funkcí, které v podstatě vytvoří celý konečný zdrojový kód. 

bofus2Na obrázku ze zdrojového kódu podvodné webové stránky je vidět, že kyberzločinci chtěli, aby jejich podvodný web vyhledalo co nejvíce vyhledávačů (všimnout si tak můžete zmíněného vyhledávače Google, Yahoo, Bing a dalších).

Přesměrování

Přesměrování probíhá velice rychle a pozorný uživatel může jenom postřehnout jen malou ikonu indikující načítání před tím, než je mu zobrazen podvodný web. Například první webová stránka může nabízet dotazník, ve kterém zodpovíte pár jednoduchých otázek a který slibuje, že po správném zodpovězení dostanete po zaplacení malého poplatku nový iPhone. 

iphone-scam-nabidkaPodvodný web slibuje, že dostanete nový iPhone za poplatek 25 Kč, pokud vyplníte své osobní údaje. 

Nebo otevírání obálek či balíčků, na které jsme vás nedávno také upozornili. Možností je hned několik, často se jedná právě o triviální minihru či zkoušku. 

scam-ceska-postaPodvodná stránka, která se vydává za hru České pošty

Poté, co vyberete jednu z obálek, popřípadě odpovíte na všechny otázky z dotazníku, stránka chvíli předstírá, že vyhodnocuje výsledky hry. A po chvíli: Překvapení, vyhráli jste. Aby přesvědčila i nedůvěřivce, předloží vám několik facebookových komentářů od zdánlivě pravých uživatelů. Všechny komentáře jsou také přeloženy do příslušného jazyka, aby působily alespoň trochu věrohodně. Jazyk kyberzločinci volí dle vaší IP adresy a většina komentářů je obvykle bez závažnějších gramatických a pravopisných chyb. 

unnamed-7

Výhru máte v kapse. Co teď? Abyste svou cenu získali, budete muset kliknout na odkaz, který vám stránka poskytne. Samozřejmě ze všech výherních telefonů bude zbývat už jen jeden poslední, akorát pro vás. A po kliknutí se dostanete na webovou stránku s dotazníkem. Do něj zadáte, po jaké barvě telefonu toužíte, ale také své kontaktní informace a budete muset zaplatit pár symbolických korun. 

Celý podvod končí tím, že „výherce” pošle peníze útočníkům. Předpokládá, že ho od nového telefonu dělí jen pár korun za poštovné a několik dní, než telefon stihne přijít. Ten samozřejmě ale nikdy nepřijde a kyberzločinci se právě dostali k jeho osobním i platebním údajům.

Další varianty podvodů

To je alespoň ten nejčastější scénář. Můžete se také setkat s různými obměnami. Například vám webová stránka nabídne zasílání push notifikací. Ty zajistí, že váš prohlížeč budou prakticky neustále stíhat nevyžádané reklamy. 

push-up-notification-scamPříkladem podvodné praktiky zneužívající push notifikace je i tato stránka. Pokud byste souhlasili, reklam byste se složitě zbavovali.

Popřípadě vás útočníci přesměrují na stránku, na které se vás snaží získat na svou stranu tím, že vám nabídnou velkou sumu peněz. Stačí do nevěrohodného byznysu vložit malou částku peněz a oni už z vás díky vložené důvěře pro jejich projekt udělají pohádkové boháče: 

moneyunnamed-13

Závěrem

Z výsledků našich nejnovějších dat vychází, že kyberzločinci se k těmto praktikám uchylují stále častěji. Jsou totiž účinné. A s porovnáním s phishingovými kampaněmi, které je jednodušší zanalyzovat a najít jejich zdrojový kód, tyto podvodné praktiky poskytnou zločincům nejen osobní údaje, ale často bývají i monetizované. Většina z nich navíc prochází cílením na specifické publikum před tím, než se vůbec uživateli ukáže. Pro antivirové programy je tak o to složitější je vypátrat a zastavit. 

Základní pravidlo je ale jednoduché: Pokud hledáte nějaký specifický produkt a ve výsledcích se zobrazí nabídka, která zkrátka zní až příliš dobře, pravděpodobně jde o podvod. Dobře si proto rozmyslete, komu své údaje poskytujete. Podobné podvody očekávejte a vždy si několikrát zkontrolujte, o jakou nabídku se jedná. 

podvody-diagramNa diagramu červené šipky znázorňují cestu uživatele skrz podvodné stránky. Žluté ukazují to, co kyberzločinec nechce, aby uživatel viděl, a plní roli zaindexování u vyhledávačů a následného přesměrování na jeden z mnoha podvodných webů. Pokud se ale uživatel útočníkům nelíbí, tak je přesměrován na neškodnou webovou stránku.

svetJak můžete vidět na grafice, tyto podvodné kampaně cílí takřka na celý svět. Česká republika je v žebříčku kyberútoků cíleným na uživatele ale atypicky vysoko oproti jiným zemím podobné velikosti.