Vi har set mange friske apps, som henover det seneste år har lokket naive Facebook med at kunne ændre udseenet på Facebook. Typisk er lokkemaden at disse app's kan anvendes til at få nye farver og et anderledes frisk look af Facebook. Når denne kampagne, som netop nu er skudt i gang, spreder sig blandt Facebook brugere hævder den bl.a. "Aldrig mere samme kedelige blå tema".
Som altid er det dog et fluepapir, og den pågældende kampagne har et helt andet formål: at indsamle dit brugernavn og password og sprede sig til andre godtroende Facebook brugere.
Hele denne phishing kampagne (som vi vist roligt kan kalde den) udspringer via websiden: facebooktheme.net. Websiden gør ikke brug af en app men derimod regulær phishing til at sprede sig videre til andre brugere. Se skærmdump herunder:
En interessant observation i forhold til den pågældende fupside er de registrerede whois data:
Domain Name: FACEBOOKTHEME.NET
Registry Domain ID: NA
Registrar WHOIS Server: whois.enom.com
Registrar URL: www.enom.com
Updated Date: 2015-09-09T04:20:00.00Z
Creation Date: 2015-09-09T11:20:00.00Z
Registrar Registration Expiration Date: 2016-09-09T11:20:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: BILL LIEW
Registrant Organization:
Registrant Street: PUDONG AVENUE 599
Registrant City: SHANGHAI
Registrant State/Province: NONE
Registrant Postal Code: 200120
Registrant Country: CN
Registrant Phone: +86.1381607021
Registrant Phone Ext:
Registrant Fax: +86.13816070219
Registrant Fax Ext:
Registrant Email: bill.liew@hotmail.com
Er det ikke samme e-mail adresse, som bl.a. står bag: viralpop.com, meetthemes.com, sugiharaanri.com? Jo, præcist og dem skal man også holde sig fra!
På facebooktheme.net lokkes ofret til at logge på Facebook, hvorved at login data som brugernavn og password, overdrages til trejdepart. I næste fase anvendes de login oplysninger som man netop har givet bagmændene til at sprede budskabet videre til andre Facebook brugere med følgende indhold:
Godt råd:
Hvis du ser venner og bekendte sprede dette indhold, så fortæl dem at de skal skifte deres brugernavn og password til Facebook.
Vi har blokeret det pågældende domæne i CSIS Secure DNS og i Heimdal PRO/corporate for at beskytte vores kunder mod datalækage og kontoovertagelse.
Du skal aldrig opgive dit brugernavn og password på websider, som ikke tilhører Facebook, ligesom en god ide er at aktivere 2-faktor autentifikation. Det yder et ekstra lag af sikkerhed.
↧
CSIS Blog: Nyt Facebook tema er phishing
↧