上个周末,你的社交网络肯定被一则消息刷屏了,这则消息声称主要的航空公司正在免费提供机票。来自世界各地的用户都对该消息进行了转发,消息中涉及到的航空公司有阿联酋航空,法航,俄罗斯国际航空,S7航空公司,伊娃航空,土耳其航空,亚洲航空,印度航空等。
攻击者号称如果你订阅他们的移动付费服务,那么就会获得两张免费的机票。为了这两张机票,用户就会在购买该服务时泄露个人数据并安装恶意软件,而安装的恶意软件又会弹出广告和假的航空公司的网站诱惑你进行登录。为此,欺诈者在进行消息传播时,还会配上所谓的免费机票,让受害者信以为真。
这绝不是用户第一次自己主动地在社交网络上转发欺诈内容了,还记得2014巴西世界杯期间,众多球迷为苏亚雷斯发起的请愿书事件吗?该事件是在Facebook上发生的,结果有很多球迷进行了欺诈性捐款以及点击了色情内容的网站。所有这些欺诈都有一个共同点即受害者玩玩在自己经常登录的社交网络被攻击。
欺诈模式分析
通过跟踪社交网络的新闻Feed链接,用户将会导航到欺诈性网站。我们已经找到了一系列属于欺诈者的域名:deltagiveaway.com,vvxwx9.us,aeroflot-com.us,aeroflot-ticket.us,qq3mz9.us,emiratesnow.us,emiratesgo.us,asbeforeitsends.us, emirates.iwelltrip.us等等。
由于欺诈性的网站只是在网站标志,语言和配色方式不同,所以我们会从许多网站中选出一个来进行专门地讨论。如下所示,如果你要得到的美国航空的两张免费机票,你就必须登录到家的官网上回答三个问题。
完成调查后,被害人会被要求再经过两个步骤的操作。
首先,欺诈者会要求受害者在社交网站上转发该信息,并发表一些有关感谢航空公司的评论。其次,受害者必须点击“喜欢”的评价。应该注意的是,该消息下面的评论会实时显示获得机票的用户,调查显示,这些评论其实是假的,所有这一切都是要让受害者相信该网页是合法的。
我们注意到,大多数评论的内容都是诈骗者提前编好的,而且不同国家的社交网站的评论内容都是一样的,只是语言不一样而已。
在执行完欺诈者所要求的操作之后,网站会通过使用地理位置功能将用户重定向到各种网页。在某些情况下,你会被重定向到下面显示的网站中。
不过,每次执行完所有相同的上述操作后重定向的网站都不同,包括彩票,广告,赠品新调查,可下载的可疑文件链接等。
除此之外,一些网站还会建议用户下载某个所谓有用的文件,同时敦促受害者为浏览器安装潜在的危险扩展。如果扩展程序获得读取浏览器中所有数据的权限,则可能会允许欺诈者掌握用户输入的密码,登录名,信用卡数据和其他隐私信息。除此之外,扩展可能会继续传播链接,将用户重定向到Facebook上。
根据网络应用商店的统计,截至目前,这种扩展安装已经在超过5000个用户的系统上进行了安装。
受害者人数及其位置分布
使用欺诈信息的大多数资源都包含有收集网站流量统计信息的外部服务链接。这些统计数据显示,攻击分布广泛,主要针对智能手机用户。例如,以下是我们发现的所有域中的两个令人印象深刻的统计信息。
aeroflot-ticket.us网站统计
aeroflot-ticket.us网站统计
emirateswow.us网站统计
不幸的是,目前还有无数的用户在转发这些谣言。这些用户向尝试运气看自己能否获得机票,但他们并没有注意这是一个骗局,并让朋友上当。
因此,互联网上的欺诈性网络资源和在几个小时就迅速传播开来。
在传播信息方面,社交网络的优势无人能及,这也是为什么欺诈者看重该平台的原因。
预防被欺诈的建议
1.你应该对类似的“促销活动”保持怀疑心理。在向导航到可疑链接的网络资源中输入个人数据之前,您应该客服,确认是否存在该信息。
2.为了避免欺诈,不要怕麻烦,请直接登录促销公司的官网。
3.仔细检查网页资源的地址将有助于识别欺诈行为,验证域名是否属于官网是个好办法,推荐使用域名whois来进行信息查询。
4.请为你在社交网络上发布的内容负责。为了避免以讹传讹,请认真核对信息的真实性。
5.不要安装可疑的浏览器扩展,如果检测到安装的扩展名是可疑的或目的不清楚,请在浏览器的设置中立即删除该扩展名,并更改访问的网站密码,特别是与网上银行有关的密码。
6.使用安全解决方案,保护用户免受网络钓鱼攻击,它们将阻止任何将你的浏览器导向欺诈网站的尝试。
