Tag Archives: scams

Security basics: Internet scams and your identity

If you’re afraid “to do something wrong” when you sit behind your computer, this new series is for you. AVAST has expertise in developing security products and we want to bring you a complete series about internet danger, with good practices to avoid scams, loss of money, and identity theft. You’re just about to join […]

?????????????????? Google Docs ????

      No Comments on ?????????????????? Google Docs ????

毎日、膨大な数のフィッシングメールが飛び交っていますが、最近 Google Docs や Google ドライブを使うユーザーを標的とした詐欺メールは、その巧妙さが際立っていました。

この詐欺メールでは「Documents」という至ってシンプルな件名が使われており、そこに記載されているリンクをクリックして Google Docs にある重要な文書を確認するように促します。

リンク先が Google Docs でないことは言うまでもありません。確かに Google のサイトには移動しますが、そこで実際に表示されるのは Google Docs のログインページに偽装したページです。

phish_site_image.png

図.Google Docs に偽装したフィッシング用ログインページ

偽のページは、実際に Google のサーバー上でホストされており、SSL を介して提供されているため、さらに本物らしく見えます。詐欺師は単に、Google ドライブアカウントの中にフォルダを作成し、公開設定をしてファイルをアップロードしているにすぎません。そのうえで、Google ドライブのプレビュー機能を使って共有アクセス可能な URL を取得し、それをメッセージに掲載しているのです。

このログインページは、Google の各種サービスで共通して使われているので、多くの Google ユーザーにとって見慣れたものでしょう(「One account. All of Google.(アカウント 1 つですべての Google サービスを。)」の下のテキストには、今アクセスしているサービスが示されますが、ほんのわずかの違いなので、ほとんどの人は気付きません)。

Google Docs のリンクにアクセスしたときに、このようなログインページが表示されるのはごく当たり前なので、深く考えずにログイン情報を入力してしまう人は多いかもしれません。

[Sign in]をクリックすると、ユーザーのログイン情報が、危殆化した Web サーバー上の PHP スクリプトに送信されます。

このページから今度は本当の Google Docs 文書にリダイレクトされるので、攻撃の全体がかなりの説得力を持っています。Google アカウントはフィッシング詐欺師にとって価値のある標的です。Gmail や Google Play など多くのサービスへのアクセスに使われるため、これを利用すれば Android アプリやコンテンツも購入できるからです。

シマンテック製品をお使いのお客様はこの脅威から保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Google Docs Users Targeted by Sophisticated Phishing Scam

We see millions of phishing messages every day, but recently, one stood out: a sophisticated scam targeting Google Docs and Google Drive users.

The scam uses a simple subject of “Documents” and urges the recipient to view an important document on Google Docs by clicking on the included link.

Of course, the link doesn’t go to Google Docs, but it does go to Google, where a very convincing fake Google Docs login page is shown:

phish_site_image.png

Figure. Google Docs phishing login page

The fake page is actually hosted on Google’s servers and is served over SSL, making the page even more convincing. The scammers have simply created a folder inside a Google Drive account, marked it as public, uploaded a file there, and then used Google Drive’s preview feature to get a publicly-accessible URL to include in their messages.

This login page will look familiar to many Google users, as it’s used across Google’s services. (The text below “One account. All of Google.” mentions what service is being accessed, but this is a subtlety that many will not notice.)

It’s quite common to be prompted with a login page like this when accessing a Google Docs link, and many people may enter their credentials without a second thought.

After pressing “Sign in”, the user’s credentials are sent to a PHP script on a compromised web server.

This page then redirects to a real Google Docs document, making the whole attack very convincing. Google accounts are a valuable target for phishers, as they can be used to access many services including Gmail and Google Play, which can be used to purchase Android applications and content.

Symantec customers are protected against this threat.

Sex, lies and videotapes aka Celebrity scams

      No Comments on Sex, lies and videotapes aka Celebrity scams

Famous people – movie stars, athletes, politicians –  are the favorite subject matter of scammers. Using modern technologies and communications channels, scammers and social engineers come up with sophisticated methods to trick people and grab their attention. Social channels offer a perfect environment to create buzz, grab users’ interest with shocking content, and eventually make […]

????????????Safer Internet Day??????????????????

safer_internet_day.png

10 月の全米サイバーセキュリティ意識向上月間(National Cyber Security Awareness Month)や、2 月のインターネット安心デー(Safer Internet Day)に限らず、日常的にオンラインの安全性を意識することは常に大切です。日常生活へのテクノロジの浸透が進み続けている今、自身の情報やデジタル ID を確実に管理するためのセキュリティ機能や設定を使用してください。

時代はソーシャル
今日のインターネットで最も大きい潮流は、ソーシャルです。今この瞬間にも私の友人たちは、Pinterest に結婚式のアイデアをピンする、Instagram にカフェラテの写真を投稿する、Snapchat で今日の服装を送る、Foursquare でレストランにチェックインする、Vine で飼い猫の動画を投稿する、Facebook で赤ちゃんの写真を共有する、Twitter で『ウォーキング・デッド』プレミアの予想を投稿するといった行為に勤しんでいます。こういったサービスは、人気が高くなればなるほど、詐欺やスパム、フィッシング攻撃の標的となる頻度も高くなります。

設定の確認
シマンテックセキュリティレスポンスは、各種のソーシャルネットワークやソーシャルアプリのプライバシー設定とセキュリティサービスを十分に理解しておくことを推奨しています。

  1. 公開か非公開か。デフォルトでは、多くのソーシャルサービスでは更新情報を公開するよう推奨されています。プロフィールを公開にするか非公開にするかを全体設定として選択するサービスがほとんどですが、さらに詳細なオプションで投稿ごとに公開か非公開かを設定できるサービスもあります。投稿する前に、各サービスでプライバシー設定を確認してください。
  2. 強いパスワードとパスワードの使い回し。サービスごとに強いパスワードを使い、複数のソーシャルネットワークで同じパスワードを使い回さないようにしてください。
  3. 利用できる場合には 2 要素認証を設定。Facebook や Twitter など一部のサービスには、アカウントのセキュリティ強化対策として 2 要素認証が提供されています。サービスにログインするにはパスワードを入力するのが普通ですが、これはユーザーがすでに知っている情報です。2 要素認証を利用すると、ユーザーの手元にある情報も必要になります。通常、これはランダムに生成される数値すなわちトークンの形で提供され、SMS やサービス専用のモバイルアプリ内の乱数生成機能を通じて携帯電話に配信されます。したがって、パスワードが漏えいした場合でも、生成された 2 要素認証トークンがないと犯罪者はログインすることができません。

敵を知る
ソーシャルネットワークやソーシャルアプリのユーザーにとって最大の敵は、ソーシャルアカウントを乗っ取ってスパムを拡散し、アンケートの記入やアプリのインストールを求めてくるスパマーや詐欺師です。

  1. 無料提供は無料ではない。詐欺師の多くは、アンケートに答えたり、アプリをインストールしたり、あるいはソーシャルネットワークで投稿を共有したりすると無料のデバイスやギフトカードを獲得できると謳ってユーザーを誘導しようとします。それほどうまい話はあるはずもなく、話に乗ってしまうと、個人情報を与えてしまうことになりかねません。
  2. フォロワーや「いいね」を集める。フォロワーや「いいね」の数を増やそうとすれば、その代償を払わされるのが常です。偽フォロワーに対する料金を請求されるか、アカウント情報を差し出してソーシャルボットネットの一部に組み込まれてしまうのがオチです。そこまでする意味のある行為ではありません。
  3. 話題のトピックは悪用の温床。スポーツイベントや人気スター有名人の死亡記事人気テレビのシーズンまたはシリーズの最終回、あるいは最新製品の発表まで、詐欺師やスパマーは常に話題を先取りし、ユーザーを陥れるための会話にそれを盛り込もうと狙っています。これはもう避けられないものと諦めて、リンクを不要にクリックしないように用心してください。
  4. 自分の画像や動画なのか。パスワードを狙う詐欺師は、知らず知らずのうちにパスワードを渡してしまうよう巧みにユーザーを誘います。それがフィッシングです。リンクをクリックして、ソーシャルネットワークサービスのログインページと思われる Web ページに進んだとしても、うっかりパスワードを入力しないでください。アドレスバーをよく見ると、「Twitter」あるいは「Facebook」という単語を含む長い別の URL になっていませんか。ブラウザで新しいタブを開いて、twitter.com や facebook.com と手動で入力し、すでにログインしていないかどうか確認してみてください。たいていの場合は、すでにログイン状態のはずです。

知識は力なり
新しいソーシャルネットワークサービスやソーシャルアプリが人気を集めて主流になったとき、詐欺師やスパマーがそれを黙って見逃すことはありません。手間を惜しまずに、各サービスで提供されているプライバシー設定やセキュリティ機能を理解することが、オンラインでの安全とセキュリティの向上の第一歩です。また、情報を狙っている相手や、情報を狙ってユーザーを欺こうとするそのさまざまな手口を知れば、リンクをクリックするとき、投稿を共有するとき、あるいはパスワードを入力するときのそれぞれで、安全かどうかを適切に判断できます。

各種ソーシャルネットワーク上の友人や家族にもこのブログを共有して、注意を呼び掛けてください。

最新のソーシャルネットワーク詐欺に関する情報は、Twitter で @threatintel をフォローするか、セキュリティレスポンスブログをご購読ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Día de Internet Seguro – Protegiendo tus Redes Sociales

safer_internet_day.png

Sea el Día de Internet en mayo o el Día de Internet Seguro en febrero, siempre es importante proteger nuestra información cuando estamos conectados en Internet. A medida que la tecnología se incorpora en nuestra vida diaria, existen configuraciones y opciones de seguridad que pueden utilizarse para garantizar que nuestra información e identidad digital estén bajo control.

Vivimos en un mundo social

En Internet, la fuerza más dominante hoy día es la social. En este momento, muchos amigos míos están compartiendo fotos con ideas para bodas en Pinterest, editando y compartiendo fotos de alimentos en Instagram, intercambiando imágenes de vestidos por redes sociales, haciendo check-in en restaurantes con la aplicación Foursquare, grabando videos cortos de sus mascotas con Vine, compartiendo fotos de sus hijos recién nacidos en Facebook o tuiteando sobre el estreno de la nueva temporada de The Walking Dead o los estrenos en cartelera. Así, a medida que esta forma de comunicarnos y estos servicios se hacen cada vez más populares, también se vuelven un objetivo más frecuente de intentos de fraudes cibernéticos, spam y phishing.

Conoce tus configuraciones

Symantec Security Response aconseja a los usuarios que se familiaricen con las configuraciones de privacidad y los servicios de seguridad que ofrece cada red social y las aplicaciones que usan, a continuación algunos puntos importantes.

  1. ¿Público o privado? Por default, muchos de estos servicios invitan al usuario a compartir sus noticias de manera pública. Algunos ofrecen privacidad como una configuración global para hacer un perfil público o privado, mientras que otras dan más opciones, permitiendo de esta manera hacer las publicaciones individuales públicas o privadas. Asegúrate de revisar estas configuraciones antes de hacer alguna publicación o aceptar los términos del servicio.
  2. Contraseñas seguras y reutilización de contraseñas. Utiliza una contraseña segura para cada servicio y asegúrate de no reutilizar o repetir contraseñas en tus redes sociales.
  3. Si es posible, implementa una doble autenticación. Algunos servicios como Facebook y Twitter ofrecen una autenticación de dos factores como una medida de seguridad adicional para tu cuenta. Normalmente, para iniciar sesión en un servicio, ingresamos una contraseña, que es algo común que la mayoría de los usuarios utiliza. Al habilitar una autenticación de dos factores, además de una clave, se introduce un dato que tenemos solo nosotros, generalmente en forma de un número generado aleatoriamente, o token[i] que pueden enviarse a nuestro teléfono móvil por SMS, o un generador de números aleatorio dentro de los servicios de la aplicación móvil. De esta manera, si nuestra contraseña está en riesgo, el ladrón necesitará el token de autenticación de dos factores generado antes de iniciar sesión, lo que hace más difícil que alguien entre a nuestra cuenta.

Conoce a tu enemigo

Los grandes enemigos de los usuarios de redes sociales y aplicaciones son los creadores de spam y estafadores cibernéticos que quieren secuestrar nuestras cuentas de correo o redes sociales para enviar correos no deseados, para lograrlo, buscan convencernos para completar encuestas o instalar aplicaciones y así capturar nuestra información, por ello toma en cuenta lo siguiente.

  1. Las cosas gratis no son gratis. Muchos estafadores intentarán seducirte con la idea de que puedes ganar accesorios o tarjetas de regalo gratis si completas una encuesta, instalas una aplicación o si compartes una publicación en tu red social. Mediante estas técnicas y así de fácil son muchos los usuarios que podrían revelar o compartir su información personal.
  2. ¿Quieres más seguidores y “Me gusta”? Siempre hay un precio que pagar al tratar de conseguir más seguidores o “Me gusta”. Ya sea pagando dinero para tener seguidores y/o “Me gusta” falsos, u otorgar voluntariamente los datos de la cuenta y convertirse de esta manera en un botnet[ii] social. Estos esquemas no valen la pena si ponen en riesgo nuestra información.
  3. Los trending topics son aprovechados para los engaños. Ya sean eventos deportivos, noticias sobre gente famosa o avisos sobre finales de temporada de series de televisión, los creadores de spam y los estafadores en línea saben lo que es popular y encontrarán la manera de incorporarse en la conversación para engañar a los usuarios a hacer lo que ellos quieren.  Esto se relaciona con la curiosidad humana, así que piensa dos veces antes de hacer clic en los vínculos o ligas incluidas en mensajes.
  4. ¿Esta foto o video es tuyo? Los estafadores quieren tu contraseña y harán todo lo posible para convencerte de que se las entregues sin notarlo. Esto se denomina phishing. Si haces clic en un link y lo te lleva a un sitio web que parece una página de inicio de sesión de una red social, no escribas tu contraseña y mejor revisa la barra de dirección para asegurarte de que no sea solo un URL largo que tiene la palabra Twitter o Facebook en él. Abre una nueva ventana y escribe en la barra de navegación la dirección twitter.com o facebook.com para ver si tu sesión sigue activa y asegurarte de que estás entrando en la página correcta.

Conocimiento es poder

Comprendamos que cuanto más populares sean los nuevos servicios de redes sociales y las aplicaciones, los creadores de spam y los estafadores estarán más cerca de ellos. Si nos tomamos el tiempo para entender las configuraciones de privacidad y las características de seguridad adicionales que ofrecen estos servicios, daremos el primer paso para estar más seguros y protegidos en línea. Además, si sabemos quién solicita nuestra información y conocemos las distintas maneras de engaños para robar nuestros datos, podremos decidir mejor en qué ligas hacer clic, qué publicaciones compartir y dónde es seguro teclear o ingresar nuestro nombre de usuarios y/o contraseña.

¿Quieres ayudar a otros usuarios de redes sociales? Comparte esta publicación con amigos y familiares que también participan en las redes sociales que utilices.

[i] Un token de seguridad (también token de autenticación o token criptográfico) es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación.

 

[ii] Botnet es igual a hablar de acciones maliciosas que se materializan a través de un recurso delictivo, y que en esencia siempre supone una actitud hostil de parte de quien las administra.

Protecting Your Social Accounts for Safer Internet Day

safer_internet_day.png

Whether it’s National Cyber Security Awareness Month in October or Safer Internet Day in February, it’s always important to remember to be safe online every day. As technology continues to become more integrated into our daily lives, there are settings and security features that can be used to ensure your information and digital identity remain under your control.

It’s a social world
The most dominating force on the Internet today is social. Right now, I have friends pinning their wedding ideas, instagramming lattes, snapchatting outfits, checking into restaurants on Foursquare, vining videos of their cats, sharing newborn baby photos on Facebook, and tweeting in anticipation of The Walking Dead premiere. As these services become more and more popular, they are targeted more frequently by scams, spam, and phishing attempts.

Know your settings
Symantec Security Response advises social users to familiarize themselves with the privacy settings and security services offered by each of these social networks and applications.

  1. Public or private? By default, many of these services encourage you to share updates publicly. Most offer privacy as a global setting to make your profile public or private, while some offer more options, allowing you to make individual posts public or private. Make sure you review these settings before posting to these services.
  2. Strong passwords and password reuse. Use a strong password for each service and be sure not to reuse passwords across your social networks.
  3. If available, set up two-factor authentication. Some services like Facebook and Twitter offer two-factor authentication as an added measure of security for your account. Normally, to login to a service, you input a password, which is something you know. Using two-factor authentication introduces something you have, usually in the form of a randomly generated number or token that can delivered to your phone through SMS or a number generator within the services’ mobile application. This way, if your password is compromised, the thief will need the generated two-factor authentication token before they can login.

Know your enemy
The biggest enemies of most social networking and application users are the spammers and scammers that want to hijack your social accounts to peddle spam, convince you to fill out surveys, or install applications.

  1. Free stuff is not free. Many scammers will try to entice you with the idea that you can win free gadgets or gift cards if you fill out a survey, install an application, or share a post on your social network. It just isn’t that easy and by doing so, you could give away your personal information.
  2. Want more followers and likes? There is always a price to pay for trying to get more followers and likes. Whether that’s paying money for fake followers and likes or willingly giving up your account credentials and becoming part of a social botnet. These schemes aren’t worth it.
  3. Trending topics are ripe for abuse. Whether it’s sporting events or pop stars, the death of celebrities, popular television season or series finales, or the newest gadget announcement, scammers and spammers know what’s popular and will find a way to insert themselves into the conversation to trick users into doing their bidding. Know that this is inevitable and think twice before blindly clicking on links.
  4.  Is this picture or video of you? These scammers want your password and they’ll attempt to convince you to unknowingly give it to them. This is called phishing. If you click on a link and it takes you to a webpage that looks like a login page for a social networking service, don’t just type in your password. Check the address bar to make sure it’s not some long URL that has the word Twitter or Facebook in it. Open up a new browser tab and manually type in twitter.com or facebook.com to see if you’re still logged in. More often than not, you probably are.

Knowledge is power
Understand that as new social networking services and applications become popular in the mainstream, the scammers and spammers will not be far behind. If you take the time to understand the privacy settings and additional security features offered to you on these services, you are taking the first step towards being safer and more secure online. Additionally, if you know who is after your information and the various ways they will try to trick you into giving up that information, you can make better decisions about what links to click, what posts to share, and where it is safe to type in your password.

Want to help your fellow social users? Share this post with your friends and family on your various social networks.

To keep up-to-date with the latest social network scams, follow us on Twitter @threatintel and subscribe to our blog.

?????????

      No Comments on ?????????

ソーシャルメディアサイトでは、追悼メッセージを悪用した詐欺が増え続けています。最近も、ジャッキー・チェン、モーガン・フリーマン、ウィル・スミス、キアヌ・リーブス、リアーナといった有名人が死亡したという詐欺がありましたが、これはほんの一例にすぎません。こういった人騒がせなメッセージには、たいてい動画へのリンクも含まれています。ユーザーが動画を見ようとすると、餌となるメッセージを家族や友人と手動で共有するように仕向けられ、詐欺の拡散に加担させられてしまいます。投稿を共有しても、謳われていた動画を見ることはできません。代わりに、広告サイトにリダイレクトされ、アンケートに答えるよう求められるだけです。この広告とアンケートが詐欺師の収益源となっています。悪質なブラウザ拡張機能やアプリケーションをダウンロードするよう求める亜種もあります。この手の詐欺は目新しいものではありませんが、儲けにつながる限り途絶えることはないでしょう。

Facebook RIP scam 1.png

図 1. ソーシャルメディアサイトで共有されている偽動画詐欺

最近、一部の詐欺で頻繁に利用されているのは、自動車事故で亡くなったポール・ウォーカーさんとロジャー・ロダスさんです。話の大筋は間違っていませんが、詐欺師はこの悲劇的な事故を悪用して、事故の未公開映像が写っていると称した動画を広めようとしています。悪質な Facebook アプリケーションを使うことに特化して、詐欺の拡散を図る詐欺グループもあります。詐欺師は IP アドレスから地理情報を調べる簡単な JavaScript を利用してユーザーの位置を特定し、その地域に対応するサイトにブラウザをリダイレクトします。こうしたあからさまな動作も、最近では珍しくありません。リダイレクト先は悪質な Facebook アプリケーション、リモートでホストされた詐欺サイト、あるいはフィッシングサイトです。幸い、以下の例に挙げたフィッシング Web サイトは、あまり出来がよくなく、ブラウザによってはレイアウトが崩れてしまいます。

Facebook RIP scam 2.png

図 2. レイアウトが崩れた偽の Facebook ログインページ

リダイレクトされるときに、悪質な URL に関する Facebook の警告が表示されないこともあるので注意が必要です。ユーザーが Facebook の投稿にあるリンクをクリックすると、ブラウザは転送スクリプトにリダイレクトされます。Facebook が転送先の URL を不審と判断した場合には警告が表示され、ユーザーはその情報を基に投稿をスパムとして報告することができます。Web ページは警告の下にある iframe で表示されるため、ごくまれに、詐欺師が自動的にユーザーを新しいサイトへリダイレクトできる可能性もあります。そのため、悪質な Facebook アプリケーションのページに移動する前にユーザーが警告メッセージを目にするのは、1 秒にも満たない一瞬だけです。また、最終ページに行き着くまでに何度もリダイレクトが繰り返される場合もあります。

Facebook RIP scam 3.png

図 3. リンクのリダイレクト警告

ユーザーが悪質なアプリケーションをインストールしようとすると、ユーザーのデータを読み取ってタイムラインに投稿する許可が求められます。詐欺師の最大の目的は、被害者に知られないうちにユーザーの Facebook アカウントからメッセージを投稿し、この詐欺に騙される人を増やすことです。アプリケーションのインストールが終わると、詐欺メッセージがユーザーのタイムラインに投稿され、アンケート詐欺の Web ページにリダイレクトされます。

1 時間に数百人ものユーザーがいずれかのリンクをクリックしており、実際にアプリケーションをインストールした人もいます。言うまでもなく、Facebook は悪質なリンクを遮断し、悪質なアプリケーションをできるだけ早く削除することに尽力していますが、厄介なのは、犯人がスクリプトを自動化していることです。解析した各ドメインは、悪質な Facebook アプリケーションのコピーを 2,000 以上もホストしています。それぞれ名前が少しずつ異なっているため、あるアプリケーションが遮断されたら、詐欺師は悪質なリンクを変更するだけです。

Facebook RIP scam 4.png

図 4. 許可を求める詐欺アプリケーション

いつものことですが、インターネットを利用する場合は、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • ソーシャルメディアサイトで衝撃的な話を読んだときは用心し、疑ってかかる。
  • 信頼できないサイトからプラグインやツールをインストールしない。
  • コンテンツにアクセスするためのアンケートについては、回答する前に再考する。
  • ソーシャルアプリケーションをインストールするときは、要求される許可が本当に必要かどうかを確認する。

シマンテック製品をお使いのお客様は、さまざまな IPS シグネチャと URL 評価遮断サービスによって、この手の攻撃から保護されています。

Facebook で何らかの詐欺を発見した場合には、すぐに報告することをお勧めします。Facebook のセキュリティチームは現在、この手の詐欺への対策を講じており、新しい脅威が登場するたびに遮断し、削除しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Rest in Peace Scams

      No Comments on Rest in Peace Scams

The rise of “rest in peace” scam messages on social media sites continues. Jackie Chan, Morgan Freeman, Will Smith, Keanu Reeves, and Rihanna are only a few of the celebrities that have been proclaimed dead in recent scams. The sensational messages usually include links to a video. Before the user gets to see the video, they are tricked into manually sharing the bait message with all of their family and friends in order to spread the scam further. Even after sharing the post, the user will still not be able to see the fake video. Rather, they will be redirected to a site with advertisements that asks the user to fill out a survey. The ads and surveys generate revenue for the scammer. Other variants of the scam ask the user to download a malicious browser extension or application. This kind of scam is not new, but as long as they make money, they will continue.

Facebook RIP scam 1.png

Figure 1. Fake video scam shared across social media sites

Some scammers are currently focusing on Paul Walker and Roger Rodas, who both recently died in a car accident. Even though the base of the story is true, the scammers are using these tragic deaths to try to promote fake videos which claim to include unseen footage of the crash. One scam group has specialized in the use of malicious Facebook applications to boost the reach of the scam. With a simple geo IP location JavaScript, the scammers can determine the user’s location and redirect their browser to a site that suits their region. This is straight forward and common behavior nowadays. The redirects can point to malicious Facebook apps, remotely hosted scams sites, or phishing sites. Luckily, in this example, the phishing website does not look very convincing, as some browsers break the layout of the site.

Facebook RIP scam 2.png

Figure 2. Fake Facebook login Web page with broken layout

Unfortunately, the redirects can sometimes skip one of Facebook’s warnings about malicious URLs. Whenever a user clicks on a link in a Facebook post, the browser will get redirected to a transfer script. If Facebook thinks that the destination URL is suspicious, a warning message is displayed, informing the user and allowing them to report the post as spam. Since the Web page is shown in an iframe below the warning, it is possible, in some rare cases, that the scammer could automatically redirect the user to a new site. As a result, the user will only see the warning message for less than a second before they are sent to the malicious Facebook application page. Often, multiple redirects are involved until the final page is reached.

Facebook RIP scam 3.png

Figure 3. Link redirection warning

If a user attempts to install a malicious application, the app asks for permission to read the user’s data and to post in their timeline. The scammer’s main goal here is to post the message through the user’s Facebook account without the victim’s knowledge so that more people fall for the scam.  Once the user installs the application, the scam message is posted to their timeline and the user is redirected to the survey scam Web pages.

A few hundred people per hour have clicked on each of these links and some have installed the application. Of course, Facebook is doing its best to block the malicious links and remove the applications as fast as possible. Unfortunately the bad guys have automated scripts on their side. Each of the analyzed domains hosted more than 2,000 copies of the malicious Facebook application, each under a slightly different name. This allows the scammers to rotate the malicious links once the app is blocked.

Facebook RIP scam 4.png

Figure 4. Scam application asking for permissions

As always, Internet users are advised to follow best practices:

  • Be vigilant and skeptical when reading sensational stories on social media sites
  • Do not install plugins or tools from untrusted sites
  • Think twice before filling out verification surveys in order to access content
  • When installing social applications, verify that the requested permissions are really required

Symantec customers are protected against these types of attacks by various IPS signatures and our URL reputation blocking service.

Symantec would like to encourage Facebook users to report any scams that they encounter to Facebook. The Facebook security team is currently working on this particular scam and they are blocking and removing the threat as new versions appear.