Аренда аккаунта в «Фейсбуке»*: как мошенники получают доступ к вашему компьютеру
Распространенность: реклама в соцсетях
Риск: 💰💰💰💰💰
*cоцсети «Инстаграм» и «Фейсбук» принадлежат Meta — организации, деятельность которой признана экстремистской и запрещена на территории РФ
В «Фейсбуке»* мне попалась необычная реклама: предлагали сдать свой аккаунт в соцсети в аренду. Достаточно установить одно приложение — и каждую неделю мне будут за это платить. Честность и законность реклама тоже гарантировала.
Даже если оставить в стороне абсурдность идеи аренды личного аккаунта, это обман. Если установить приложение, злоумышленники получат доступ к вашему браузеру и всему, что в нем хранится. Например, они смогут зайти в вашу почту и разослать спам контактам. Или заглянуть на вредоносный сайт, чтобы установить на компьютер троянскую программу и получить над ним теперь уже полный контроль.
Вот как понять, что вас хотят обмануть:
- Рекламу разместили на недавно созданной странице.
- На сайте есть нестыковки в сумме вознаграждения.
- Аргументы мошенников не проходят проверку фактами.
- Приложение предлагают установить в обход обычных способов.
А теперь подробнее.
Признаки развода в рекламе и на сайте
Фальшивое объявление. В разводе про пиццу мы писали о признаках мошеннических рекламных объявлений. Здесь все то же самое: недавно созданная страница с единственным постом, негативные реакции на объявление, сайт, о котором вы никогда не слышали.
Непонятный размер заработка. По ссылке из рекламы открывается сайт, который обещает легкий заработок. Но мошенник никак не определится — в разных частях страницы встречаются суммы в 600, 1500, 3000, 8000 и 10 000 ₽. Обычно такие нестыковки связаны с тем, что мошенник изначально не собирается никому ничего платить.
Откровенное вранье. Чтобы вызвать доверие у жертв и заставить их выполнить нужные действия, мошенники обычно придумывают правдоподобные причины своим действиям. Но зачастую эти причины не проходят проверку фактами. Так и тут: мошенники уверяют, что «Фейсбук»* не дает им разместить с одного аккаунта нужное количество объявлений — а это требуется для бизнеса. Только вы сможете их спасти, поэтому они готовы вам платить.
Я не сталкивался с подобным и не знаю, есть ли ограничения на количество рекламных кампаний в «Фейсбуке»*. Но в рекламном кабинете соцсети нашлась возможность делегировать права управления аккаунтом для размещения рекламы — для этого просят указать только имя пользователя. Выходит, аргументы мошенников изначально ложные.
Вредоносное расширение
Самое интересное скрывается в браузерном расширении, которое нужно установить для получения заработка. Браузерные расширения — это мини-программы для добавления новых функций в браузер. Как и приложения при установке на смартфон, браузерные расширения иногда запрашивают доступ к микрофону, камере, интернету и другим опциям.
Подобное браузерное расширение может сильно навредить аккаунту и компьютеру, если получит слишком большие полномочия. Расширение для «аренды» оказалось именно таким, хотя авторы описывали его как безопасное и конфиденциальное.
Главный признак вредоносности — то, что расширение предлагают установить вручную, в обход официального магазина. Кроме того, оно получает доступ почти ко всему, что позволяет делать браузер, а команды управления отправляются с другого компьютера.
Установка в специальном режиме. Проверенные расширения загружаются через магазин расширений «Гугл-хрома». Но автор объявления не опубликовал свое расширение в магазине, да оно бы и не прошло там проверку безопасности.
Вместо этого он загрузил исходный код расширения на свой сайт и подготовил текстовое описание и видеоинструкцию для установки расширения через специальный режим браузера.
Расширение получает доступ примерно ко всему. Вопреки заверениям автора, расширение сможет управлять не только рекламным кабинетом «Фейсбука»*. После установки приложение получает доступ к управлению закладками браузера, геолокации, кукам и всем сайтам в интернете, а еще сможет делать снимки экрана. Все говорит о том, что расширение — это средство удаленного управления компьютером.
Расширение получает команды для браузера с другого компьютера. При проверке внутреннего кода я обнаружил несколько опасных фрагментов. Выяснилось, что расширение не управляет браузером самостоятельно, а подключается к какому-то серверу и принимает от него команды.
Проще говоря, через это расширение мошенник получает доступ к вашему браузеру. Например, он может зайти в вашу почту, если браузер помнит от нее пароль, и через нее получить доступ к другим сайтам и личным кабинетам. А всю информацию с вашего экрана автор приложения может увидеть на своем компьютере, потому что расширение умеет делать скриншоты.
Все это удалось проверить благодаря безалаберности мошенника. Оказалось, что он забыл закрыть паролем панель управления, с которой расширение получает команды, и мне удалось на нее зайти. Там обнаружился список компьютеров, где, по всей видимости, установлено вредоносное расширение. Видно, какие из них в сети, можно просматривать список открытых в браузере вкладок, переключаться между ними и открывать новые вкладки. Таких компьютеров тысячи, и каждый день добавляется по 20—30 новых.
Что делать, если уже установили подобное расширение
Если уже установили такое расширение и предоставили ему доступ, как можно быстрее удаляйте его через настройки и перезагружайте браузер. Прежним путем злоумышленники уже не смогут получить доступ к браузеру, но они могли успеть установить на компьютер другие приложения или запустить вредоносный код. Поэтому как минимум стоит запустить антивирус.
К сожалению, это не дает гарантии защиты. Получив на несколько минут доступ к компьютеру, хакер может выполнить любые манипуляции, и никто не будет знать, что именно он сделал. Если на вашем компьютере хранятся важные данные, которые ни в коем случае не должны попасть в чужие руки, например пароли от банковских приложений или ядерные коды, то имеет смысл перестраховаться. Наиболее безопасным решением будет переустановка операционной системы с удалением всех данных, кроме самых необходимых, и смена всех паролей.
09.11.20, 08:06
Крипто, отлично описали проблему аккаунтов. Тем правдоподобнее выглядит причина "арендаторов".
В статье я уточнил, что если бы они реально хотели рекламу от моего аккаунта запускать, можно было бы продать им делегирование доступа к рекламе. Но не ко всему же браузеру с почтой и личной перепиской!
09.11.20, 08:09
Вижу лёгкое бабло - качаю приложуху и отправляю фотку cvc кода вотсап
07.11.20, 08:36
Это скорее всего не развод – во всяком случае, не всегда. Такой схемой пользовалась Ads Inc, размещавшая в Facebook фейковую рекламу криптовалютных проектов с использованием имен знаменитостей – в России, например, встречались объявления с Дуровым. Аренда аккаунтов им действительно была нужна для того, чтобы создавать рекламные кабинеты, которые сгорали после жалоб, и, кажется, использовать ворованные карты для оплаты рекламы.
09.11.20, 11:16
Mikhail, а есть ссылка на информацию об этом?
09.11.20, 07:11
нет, схема другая
08.11.20, 15:03
Мне писал некто насчет продажи аккаунта, был послан. Теперь понимаю, зачем он писал.
09.11.20, 07:26
Анастасия, продажа аккаунта — это немного другое. Может быть, у вас много подписчиков, или интересная (для покупателя) аудитория.
А тут — конкретное мошенничество, т.к. устанавливается вредоносное расширение.
09.11.20, 07:52
Видел варианты аренд и без расширений.
Просто с передачей кук авторизации и логин/пароля.
Имхо это скорее рекламные игры, чем хакерство.
Но риск того, что под твоим именем и фото сделают что то нехорошее..... не покрывает рисков
09.11.20, 08:27
Из-за выборов появилось очень много фильтров в фейсбуке на трафик из СНГ, спасибо арбитражникам, ставочникам и другим хитрюгам. Аккаунты быстро блокируются, вот ребята и ищут пути взять чужой живой аккаунт, что бы лить трафик. Сейчас самая большая сложность именно в аккаунтах для работы, даже для обычного магазина.
09.11.20, 11:23
Крипто, а что дальше случится с аккаунтом с задолженностью? Реклама не вперед оплачивается?
09.11.20, 11:34
Вега, там оплата постфактум. Фейсбук списывает с карты безакцептно периодически. Если карта арендаторов уже не будет работать, задолженность останется на вас.
25.11.21, 16:57
Дааааааа
25.11.21, 16:58
Мне деньги не платят уже как месяц