Evo jedne klasične fišing prevare za lakoverne vlasnike FB stranica a pretpostavljam i korisnike koji nemaju FB naloge, a koja je upravo poslata meni – dakle nije nešto što se dešava nekom drugom tamo.

…elem, zapreti vam Facebook da vas je neko prijavio i da će, ako ne potvrdite svoj identitet da vam blokira FB stranicu. Naravno, Facebook niđe veze sa ovom pričom.
Naslov je vezan za stranice na srpskom jeziku jer na Facebook stranici napadača vidim da su meta samo ove stranice, tako da kontam da je neko ko „baš voli Srbe“ a Srbi ih bogami imaju na lageru koliko želiš – i obratno.

Link koji vam ta „Fасebооk Seсuritу Terms“ Facebook stranica nudi, vodi dalje ka fišing stranici http://proteсtiоnpage-100915499.esу.es/security-pаge (naziv FB stranice i link sam ispisao kombinovano ćirilicom i latinicom da ne bi neko kliktao i kako se ne bi indeksirao – tipa latinično c je ćirilično slovo s, ukucajte sve ručno ako želite da odete na stranicu – ali ne unosite istinite podatke ni pod tačkom razno) gde se od vas traži da „potvrdite svoj profil“ a zapravo vaš username i password ostaje samom napadaču da vam preotme profil(e) kad mu se ćefne…sem ako ste bili pametni pa aktivirali dvostepenu autentifikaciju mogu da ga fafaju a vi u međuvremenu opušteno promenite login podatke

Naravno, poigrao sam se sa tim – šta se dešava kad se unese Facebook email kojim se loguješ i lozinka (lažno sve naravno). Ukucao sam neku bezveze email adresu i lozinku, i poslalo me je na sledeći korak a to je: UNOS LOGIN PODATAKA ZA EMAIL NALOG (ovo je zapravo sem kreditne kartice mnogo ozbiljnija stvar od krađe FB profila – detaljnije ovde)

I tu sam isto uneo neke bezveze podatke. Zanimljivo je da sam prvo uneo neku bezveze Gmail adresu i da mi je klikom na Submit vratilo da ta email adresa ne postoji. Pretpostavka je da za neke od poznatijih email servisa automatski radi proveru putem webmacroa/POP/IMAP/SMTP-a. Uneo sam neku bezveze Yandex.com email adresu i bubnuo lozinku, što me je dalje preusmerilo na sledeću stavku a to je: SECURITY QUESTION KOJI STE POSTAVILI NA MAILU ILI FACEBOOKU

I tu sam uneo neke bezveze podatke što me je bacilo na poslednji korak: UNOS PODATAKA SA KREDITNE KARTICE

Prvo sam uneo neke rendom podatke za karticu što mi je posle klika na Confirmation signaliziralo da nisam uneo ispravne podatke – dakle i ovde postoji neka provera. Onda sam uneo testne podatke kreditne kartice koje sam našao na ovom linku na šta sam posle klika na Confirmation dobio obaveštenje da je sad sve OK i odmah sam preusmeren na regularnu Facebook stranicu.

Dakle, pecaroš je od mene pokušao da dobije: login za Facebook, login za email, pitanje i odgovor na security pitanje koje sam postavio negde i podatke sa kreditne kartice. Kontam da sve sem podataka sa kreditne kartice ima veliku prođu međ’ narodom (od plaćanje preko neka se beži ko đavo od krsta, samo red u pošti Bajo moj).

Dakle, ništa panika i „odma potvrdi“, Facebook ako će vas startuje svakako neće:

  • Preko bit.ly linka
  • Tagovanjem vaše stranice
  • Sa svoje FB stranice na Facebooku (lol)
  • Nikad neće da vam traži potvrdu identiteta
  • Login stranica je uvek iza https-a
  • Boli ga uvo za login na vaš email i podatke sa kartice.

PAŽNJA: Fišing link čak može doći i sa Facebook domena i iza https-a i tako zavarati i iskusnije korisnike – i to sa adrese koja počinje sa https://apps.facebook.com.  To je regularna Facebook adresa za facebook aplikacije, igrice i slično ali ako vam se sa nje traži bilo kakav login ili bilo kakvi lični podaci za bilo šta – nemojte unositi ni pod tačkom razno.

Na ovaj način, fišingom se hakne, po mojoj proceni pa bar 90% svih facebook naloga, 9.9% otpada na korisnike za jednostavnim lozinkama, korisnike koji pristupaju internetu preko nezaštićenih mreža, zaraženih kompjutera i korisnike koji nisu dobro zaštitili email adresu kojom se prijavljuju na FB, a 0.1% je pravo hakovanje naloga za koje je potrebno veliko znanje (čitaj NSA, CIA, FBI, FSB, baunti-hanteri i tako to) ili koje se radi ekspoatisanjem rupa u samom Facebooku koje FB još nije okrpio.

Dakle pamet u’glavu i surfuj bezbedno.