В «Фейсбуке» мне попалась необычная реклама: предлагали сдать свой аккаунт в соцсети в аренду. Достаточно установить одно приложение — и каждую неделю мне будут за это платить. Честность и законность реклама тоже гарантировала.

Реклама обещает честно и законно взять мой аккаунт в аренду
Реклама обещает честно и законно взять мой аккаунт в аренду

Даже если оставить в стороне абсурдность идеи аренды личного аккаунта, это обман. Если установить приложение, злоумышленники получат доступ к вашему браузеру и всему, что в нем хранится. Например, они смогут зайти в вашу почту и разослать спам контактам. Или заглянуть на вредоносный сайт, чтобы установить на компьютер троянскую программу и получить над ним теперь уже полный контроль.

Вот как понять, что вас хотят обмануть:

  1. Рекламу разместили на недавно созданной странице.
  2. На сайте есть нестыковки в сумме вознаграждения.
  3. Аргументы мошенников не проходят проверку фактами.
  4. Приложение предлагают установить в обход обычных способов.

А теперь подробнее.

Признаки развода в рекламе и на сайте

Фальшивое объявление. В разводе про пиццу мы писали о признаках мошеннических рекламных объявлений. Здесь все то же самое: недавно созданная страница с единственным постом, негативные реакции на объявление, сайт, о котором вы никогда не слышали.

Непонятный размер заработка. По ссылке из рекламы открывается сайт, который обещает легкий заработок. Но мошенник никак не определится — в разных частях страницы встречаются суммы в 600, 1500, 3000, 8000 и 10 000 Р. Обычно такие нестыковки связаны с тем, что мошенник изначально не собирается никому ничего платить.

Недавно созданная страница с непонятным названием, всего один подписчик и один пост без комментариев
Недавно созданная страница с непонятным названием, всего один подписчик и один пост без комментариев
Даже в&nbsp;одном абзаце встречаются разные суммы: 1500 и&nbsp;3000&nbsp;<span class=ruble>Р</span>
Даже в одном абзаце встречаются разные суммы: 1500 и 3000 Р

Откровенное вранье. Чтобы вызвать доверие у жертв и заставить их выполнить нужные действия, мошенники обычно придумывают правдоподобные причины своим действиям. Но зачастую эти причины не проходят проверку фактами. Так и тут: мошенники уверяют, что «Фейсбук» не дает им разместить с одного аккаунта нужное количество объявлений — а это требуется для бизнеса. Только вы сможете их спасти, поэтому они готовы вам платить.

Я не сталкивался с подобным и не знаю, есть ли ограничения на количество рекламных кампаний в «Фейсбуке». Но в рекламном кабинете соцсети нашлась возможность делегировать права управления аккаунтом для размещения рекламы — для этого просят указать только имя пользователя. Выходит, аргументы мошенников изначально ложные.

В&nbsp;настройках рекламного аккаунта в&nbsp;«Фейсбуке» можно добавить дополнительных администраторов или&nbsp;рекламодателей, которые получат доступ к&nbsp;управлению рекламными кампаниями от&nbsp;моего имени
В настройках рекламного аккаунта в «Фейсбуке» можно добавить дополнительных администраторов или рекламодателей, которые получат доступ к управлению рекламными кампаниями от моего имени

Вредоносное расширение

Самое интересное скрывается в браузерном расширении, которое нужно установить для получения заработка. Браузерные расширения — это мини-программы для добавления новых функций в браузер. Как и приложения при установке на смартфон, браузерные расширения иногда запрашивают доступ к микрофону, камере, интернету и другим опциям.

Подобное браузерное расширение может сильно навредить аккаунту и компьютеру, если получит слишком большие полномочия. Расширение для «аренды» оказалось именно таким, хотя авторы описывали его как безопасное и конфиденциальное.

Сайт мошенника описывает сотрудничество с&nbsp;ним словами «конфиденциально» и&nbsp;«безопасно». Это,&nbsp;конечно, вранье
Сайт мошенника описывает сотрудничество с ним словами «конфиденциально» и «безопасно». Это, конечно, вранье

Главный признак вредоносности — то, что расширение предлагают установить вручную, в обход официального магазина. Кроме того, оно получает доступ почти ко всему, что позволяет делать браузер, а команды управления отправляются с другого компьютера.

Установка в специальном режиме. Проверенные расширения загружаются через магазин расширений «Гугл-хрома». Но автор объявления не опубликовал свое расширение в магазине, да оно бы и не прошло там проверку безопасности.

Вместо этого он загрузил исходный код расширения на свой сайт и подготовил текстовое описание и видеоинструкцию для установки расширения через специальный режим браузера.

Авторы по шагам объясняют, как&nbsp;в&nbsp;обход магазина установить их&nbsp;расширение
Авторы по шагам объясняют, как в обход магазина установить их расширение

Расширение получает доступ примерно ко всему. Вопреки заверениям автора, расширение сможет управлять не только рекламным кабинетом «Фейсбука». После установки приложение получает доступ к управлению закладками браузера, геолокации, кукам и всем сайтам в интернете, а еще сможет делать снимки экрана. Все говорит о том, что расширение — это средство удаленного управления компьютером.

Судя по&nbsp;файлу настроек расширения, оно получает доступ ко&nbsp;всему, что есть у&nbsp;браузера. Кроме&nbsp;того, оно включается во&nbsp;всех закладках, а&nbsp;не&nbsp;только там, где&nbsp;открыт «Фейсбук» или его&nbsp;рекламный кабинет
Судя по файлу настроек расширения, оно получает доступ ко всему, что есть у браузера. Кроме того, оно включается во всех закладках, а не только там, где открыт «Фейсбук» или его рекламный кабинет

Расширение получает команды для браузера с другого компьютера. При проверке внутреннего кода я обнаружил несколько опасных фрагментов. Выяснилось, что расширение не управляет браузером самостоятельно, а подключается к какому-то серверу и принимает от него команды.

Проще говоря, через это расширение мошенник получает доступ к вашему браузеру. Например, он может зайти в вашу почту, если браузер помнит от нее пароль, и через нее получить доступ к другим сайтам и личным кабинетам. А всю информацию с вашего экрана автор приложения может увидеть на своем компьютере, потому что расширение умеет делать скриншоты.

Все это удалось проверить благодаря безалаберности мошенника. Оказалось, что он забыл закрыть паролем панель управления, с которой расширение получает команды, и мне удалось на нее зайти. Там обнаружился список компьютеров, где, по всей видимости, установлено вредоносное расширение. Видно, какие из них в сети, можно просматривать список открытых в браузере вкладок, переключаться между ними и открывать новые вкладки. Таких компьютеров тысячи, и каждый день добавляется по 20—30 новых.

Через исходный код расширения я&nbsp;нашел адрес сервера, который собирает все данные. По&nbsp;этому&nbsp;же адресу работает панель управления со&nbsp;списком компьютеров, на&nbsp;которых, по&nbsp;всей видимости, и&nbsp;установлено расширение
Через исходный код расширения я нашел адрес сервера, который собирает все данные. По этому же адресу работает панель управления со списком компьютеров, на которых, по всей видимости, и установлено расширение
Пользователь этого компьютера, похоже, очень долго пытается восстановить какой-то из своих паролейНа этом компьютере открыт список дней рождения в&nbsp;«Фейсбуке»На этом компьютере открыт новостной сайтА здесь воспользовались онлайн-переводчиком

Что делать, если уже установили подобное расширение

Если уже установили такое расширение и предоставили ему доступ, как можно быстрее удаляйте его через настройки и перезагружайте браузер. Прежним путем злоумышленники уже не смогут получить доступ к браузеру, но они могли успеть установить на компьютер другие приложения или запустить вредоносный код. Поэтому как минимум стоит запустить антивирус.

К сожалению, это не дает гарантии защиты. Получив на несколько минут доступ к компьютеру, хакер может выполнить любые манипуляции, и никто не будет знать, что именно он сделал. Если на вашем компьютере хранятся важные данные, которые ни в коем случае не должны попасть в чужие руки, например пароли от банковских приложений или ядерные коды, то имеет смысл перестраховаться. Наиболее безопасным решением будет переустановка операционной системы с удалением всех данных, кроме самых необходимых, и смена всех паролей.