Это не учения, боец! Добро пожаловать в реальный мир!
Сидели ли вы когда-нибудь на чудо-сайте «Одноклассники.ру»? Возможно, тогда вы знаете, что на «Одноклассниках» была и есть функция «Мои гости». С помощью нее можно просматривать профили людей, которые побывали у вас на странице. То ли дело «ВКонтакте» — там такой функции нет и никогда не было. Но не все готовы покориться судьбе, некоторые ищут пути потешить честолюбие, а злоумышленники не замедлили этим воспользоваться.
По следам человеческого любопытства проследовал Вячеслав Закоржевский, старший вирусный аналитик «Лаборатории Касперского»
Официальное объяснение от администрации ВКонтакте
Практически с момента появления «ВКонтакте» активно раскручиваются сайты и программы, якобы предоставляющие доступ к «гостям». Однако на деле это оказывалось либо трояном, либо простым разводом на СМС. Прискорбно, но за несколько лет ситуация так и не изменилась в лучшую сторону. Вот результат поиска в Google:
Некоторые пользователи до сих пор надеются и ищут магический способ, позволяющий узнать, кто ими интересуется. Я решил проверить первую страницу выдачи Google.
Тысячи их! Итого, 8 из 10 ссылок вели на мошеннические ресурсы, что впечатляет. На большинстве таких сайтов после «активации сканера» показывается анимация, чтобы наверняка убедить пользователя в реальности услуги. А после этого обычно просят отправить СМС на премиум-номер или активировать подписку. В большинстве случаев на таких сайтах отсутствуют правила предоставления услуг, в отличие от других «разводов на СМС», где в соглашении хотя бы говорится, что предоставляется, например, программа-шутка или игра. На одной из мошеннических страниц была ссылка на «правила предоставления услуги», но по скриншоту ниже становится все понятно :)
Однако помимо относительно безобидных развода на деньги, пользователь может и вовсе лишиться аккаунта, если решит скачать программу для просмотра гостей.
Я скачал этот Vk-Visit, который написан на Borland C++ и занимает аж 6 мегабайт, и открыл его в IDA. Оказалось, что программа в открытом виде передает введенные email и пароль на сервер злоумышленника.
Я на этом не остановился, а немного исследовал сервер мошенника. На нем были обнаружены картинки в стиле «ВКонтакте гости», PHP-страницы со скриптами и файл, содержащий украденные логины и пароли в открытом виде. Мы уже сообщили администрации «ВКонтакте» о найденной информации.
Помимо потери аккаунта или денег, пользователь также рискует, если будет искать «гости в контакте» с мобильного устройства. Так, поискав аналогичную фразу в Google под мобильным user-agent'ом, я несколько раз перенаправлялся на страницы, предлагающие «обновить браузер» или же сразу начиналась загрузка мобильного приложения.
Как и ожидалось, это оказалось мобильным зловредом под Android, отправляющим SMS на премиум-номера без ведома пользователя.
За большинством этих мошеннических сайтов стоят хорошо известные нам партнерские программы. В данном посте я не буду приводить их обзор, покажу в качестве примера лишь одну, ответственную за распространение "Jimm2_.apk" из предыдущего скриншота.
Мы активно занимаемся детектированием всех подобных мошенничеств — блокируем сайты, детектируем зловреды под мобильные устройства и ПК, т.е. стараемся сделать жизнь мошенников максимально сложной. Однако не стоит забывать, что секрет спасения утопающих зачастую кроится в них самих. Применительно к нашему случаю это значит, что пользователям стоит поумерить свое любопытство и с разумной долей скепсиса относиться к заманчивым предложениям в сети. Но возможно ли искоренить интернет-наивность?