Аренда аккаунта в «Фейсбуке»*: как мошенники получают доступ к вашему компьютеру

15

Распространенность: реклама в соцсетях
Риск: 💰💰💰💰💰

*cоцсети «Инстаграм» и «Фейсбук» принадлежат Meta — организации, деятельность которой признана экстремистской и запрещена на территории РФ

В «Фейсбуке»* мне попалась необычная реклама: предлагали сдать свой аккаунт в соцсети в аренду. Достаточно установить одно приложение — и каждую неделю мне будут за это платить. Честность и законность реклама тоже гарантировала.

Аватар автора

Георгий Шабашев

дорожит своим аккаунтом

Страница автора
Реклама обещает честно и законно взять мой аккаунт в аренду
Реклама обещает честно и законно взять мой аккаунт в аренду

Даже если оставить в стороне абсурдность идеи аренды личного аккаунта, это обман. Если установить приложение, злоумышленники получат доступ к вашему браузеру и всему, что в нем хранится. Например, они смогут зайти в вашу почту и разослать спам контактам. Или заглянуть на вредоносный сайт, чтобы установить на компьютер троянскую программу и получить над ним теперь уже полный контроль.

Вот как понять, что вас хотят обмануть:

  1. Рекламу разместили на недавно созданной странице.
  2. На сайте есть нестыковки в сумме вознаграждения.
  3. Аргументы мошенников не проходят проверку фактами.
  4. Приложение предлагают установить в обход обычных способов.

А теперь подробнее.

Признаки развода в рекламе и на сайте

Фальшивое объявление. В разводе про пиццу мы писали о признаках мошеннических рекламных объявлений. Здесь все то же самое: недавно созданная страница с единственным постом, негативные реакции на объявление, сайт, о котором вы никогда не слышали.

Непонятный размер заработка. По ссылке из рекламы открывается сайт, который обещает легкий заработок. Но мошенник никак не определится — в разных частях страницы встречаются суммы в 600, 1500, 3000, 8000 и 10 000 ₽. Обычно такие нестыковки связаны с тем, что мошенник изначально не собирается никому ничего платить.

Недавно созданная страница с непонятным названием, всего один подписчик и один пост без комментариев
Недавно созданная страница с непонятным названием, всего один подписчик и один пост без комментариев
Даже в одном абзаце встречаются разные суммы: 1500 и 3000 ₽
Даже в одном абзаце встречаются разные суммы: 1500 и 3000 ₽

Откровенное вранье. Чтобы вызвать доверие у жертв и заставить их выполнить нужные действия, мошенники обычно придумывают правдоподобные причины своим действиям. Но зачастую эти причины не проходят проверку фактами. Так и тут: мошенники уверяют, что «Фейсбук»* не дает им разместить с одного аккаунта нужное количество объявлений — а это требуется для бизнеса. Только вы сможете их спасти, поэтому они готовы вам платить.

Я не сталкивался с подобным и не знаю, есть ли ограничения на количество рекламных кампаний в «Фейсбуке»*. Но в рекламном кабинете соцсети нашлась возможность делегировать права управления аккаунтом для размещения рекламы — для этого просят указать только имя пользователя. Выходит, аргументы мошенников изначально ложные.

В настройках рекламного аккаунта в «Фейсбуке»* можно добавить дополнительных администраторов или рекламодателей, которые получат доступ к управлению рекламными кампаниями от моего имени
В настройках рекламного аккаунта в «Фейсбуке»* можно добавить дополнительных администраторов или рекламодателей, которые получат доступ к управлению рекламными кампаниями от моего имени

Вредоносное расширение

Самое интересное скрывается в браузерном расширении, которое нужно установить для получения заработка. Браузерные расширения — это мини-программы для добавления новых функций в браузер. Как и приложения при установке на смартфон, браузерные расширения иногда запрашивают доступ к микрофону, камере, интернету и другим опциям.

Подобное браузерное расширение может сильно навредить аккаунту и компьютеру, если получит слишком большие полномочия. Расширение для «аренды» оказалось именно таким, хотя авторы описывали его как безопасное и конфиденциальное.

Сайт мошенника описывает сотрудничество с ним словами «конфиденциально» и «безопасно». Это, конечно, вранье
Сайт мошенника описывает сотрудничество с ним словами «конфиденциально» и «безопасно». Это, конечно, вранье

Главный признак вредоносности — то, что расширение предлагают установить вручную, в обход официального магазина. Кроме того, оно получает доступ почти ко всему, что позволяет делать браузер, а команды управления отправляются с другого компьютера.

Установка в специальном режиме. Проверенные расширения загружаются через магазин расширений «Гугл-хрома». Но автор объявления не опубликовал свое расширение в магазине, да оно бы и не прошло там проверку безопасности.

Вместо этого он загрузил исходный код расширения на свой сайт и подготовил текстовое описание и видеоинструкцию для установки расширения через специальный режим браузера.

Авторы по шагам объясняют, как в обход магазина установить их расширение
Авторы по шагам объясняют, как в обход магазина установить их расширение

Расширение получает доступ примерно ко всему. Вопреки заверениям автора, расширение сможет управлять не только рекламным кабинетом «Фейсбука»*. После установки приложение получает доступ к управлению закладками браузера, геолокации, кукам и всем сайтам в интернете, а еще сможет делать снимки экрана. Все говорит о том, что расширение — это средство удаленного управления компьютером.

Судя по файлу настроек расширения, оно получает доступ ко всему, что есть у браузера. Кроме того, оно включается во всех закладках, а не только там, где открыт «Фейсбук»* или его рекламный кабинет
Судя по файлу настроек расширения, оно получает доступ ко всему, что есть у браузера. Кроме того, оно включается во всех закладках, а не только там, где открыт «Фейсбук»* или его рекламный кабинет

Расширение получает команды для браузера с другого компьютера. При проверке внутреннего кода я обнаружил несколько опасных фрагментов. Выяснилось, что расширение не управляет браузером самостоятельно, а подключается к какому-то серверу и принимает от него команды.

Проще говоря, через это расширение мошенник получает доступ к вашему браузеру. Например, он может зайти в вашу почту, если браузер помнит от нее пароль, и через нее получить доступ к другим сайтам и личным кабинетам. А всю информацию с вашего экрана автор приложения может увидеть на своем компьютере, потому что расширение умеет делать скриншоты.

Все это удалось проверить благодаря безалаберности мошенника. Оказалось, что он забыл закрыть паролем панель управления, с которой расширение получает команды, и мне удалось на нее зайти. Там обнаружился список компьютеров, где, по всей видимости, установлено вредоносное расширение. Видно, какие из них в сети, можно просматривать список открытых в браузере вкладок, переключаться между ними и открывать новые вкладки. Таких компьютеров тысячи, и каждый день добавляется по 20—30 новых.

Через исходный код расширения я нашел адрес сервера, который собирает все данные. По этому же адресу работает панель управления со списком компьютеров, на которых, по всей видимости, и установлено расширение
Через исходный код расширения я нашел адрес сервера, который собирает все данные. По этому же адресу работает панель управления со списком компьютеров, на которых, по всей видимости, и установлено расширение
Пользователь этого компьютера, похоже, очень долго пытается восстановить какой⁠-⁠то из своих паролей
На этом компьютере открыт список дней рождения в «Фейсбуке»*
На этом компьютере открыт новостной сайт
А здесь воспользовались онлайн⁠-⁠переводчиком

Что делать, если уже установили подобное расширение

Если уже установили такое расширение и предоставили ему доступ, как можно быстрее удаляйте его через настройки и перезагружайте браузер. Прежним путем злоумышленники уже не смогут получить доступ к браузеру, но они могли успеть установить на компьютер другие приложения или запустить вредоносный код. Поэтому как минимум стоит запустить антивирус.

К сожалению, это не дает гарантии защиты. Получив на несколько минут доступ к компьютеру, хакер может выполнить любые манипуляции, и никто не будет знать, что именно он сделал. Если на вашем компьютере хранятся важные данные, которые ни в коем случае не должны попасть в чужие руки, например пароли от банковских приложений или ядерные коды, то имеет смысл перестраховаться. Наиболее безопасным решением будет переустановка операционной системы с удалением всех данных, кроме самых необходимых, и смена всех паролей.

Если сталкивались с другими разводами, пишите. Прищуримся.
Георгий ШабашевА вы встречали подобную рекламу в соцсетях?
  • Mikhail SurkovЭто скорее всего не развод – во всяком случае, не всегда. Такой схемой пользовалась Ads Inc, размещавшая в Facebook фейковую рекламу криптовалютных проектов с использованием имен знаменитостей – в России, например, встречались объявления с Дуровым. Аренда аккаунтов им действительно была нужна для того, чтобы создавать рекламные кабинеты, которые сгорали после жалоб, и, кажется, использовать ворованные карты для оплаты рекламы.0
  • Анастасия ХаритоноваМне писал некто насчет продажи аккаунта, был послан. Теперь понимаю, зачем он писал.0
  • Segaнет, схема другая0
  • Илья ЩибрикАнастасия, продажа аккаунта — это немного другое. Может быть, у вас много подписчиков, или интересная (для покупателя) аудитория. А тут — конкретное мошенничество, т.к. устанавливается вредоносное расширение.0
  • ДмитрийВидел варианты аренд и без расширений. Просто с передачей кук авторизации и логин/пароля. Имхо это скорее рекламные игры, чем хакерство. Но риск того, что под твоим именем и фото сделают что то нехорошее..... не покрывает рисков0
  • Георгий ШабашевКрипто, отлично описали проблему аккаунтов. Тем правдоподобнее выглядит причина "арендаторов". В статье я уточнил, что если бы они реально хотели рекламу от моего аккаунта запускать, можно было бы продать им делегирование доступа к рекламе. Но не ко всему же браузеру с почтой и личной перепиской!5
  • Egor KВижу лёгкое бабло - качаю приложуху и отправляю фотку cvc кода вотсап3
  • KirillИз-за выборов появилось очень много фильтров в фейсбуке на трафик из СНГ, спасибо арбитражникам, ставочникам и другим хитрюгам. Аккаунты быстро блокируются, вот ребята и ищут пути взять чужой живой аккаунт, что бы лить трафик. Сейчас самая большая сложность именно в аккаунтах для работы, даже для обычного магазина.0
  • ВегаMikhail, а есть ссылка на информацию об этом?0
  • ВегаКрипто, а что дальше случится с аккаунтом с задолженностью? Реклама не вперед оплачивается?0
  • Георгий ШабашевВега, там оплата постфактум. Фейсбук списывает с карты безакцептно периодически. Если карта арендаторов уже не будет работать, задолженность останется на вас.0
  • Sanya TopДааааааа0
  • Sanya TopМне деньги не платят уже как месяц0