![](https://opis-cdn.tinkoffjournal.ru/mercury/squint-icon.yfyuhk.png)
Аренда аккаунта в «Фейсбуке»*: как мошенники получают доступ к вашему компьютеру
Распространенность: реклама в соцсетях
Риск: 💰💰💰💰💰
*cоцсети «Инстаграм» и «Фейсбук» принадлежат Meta — организации, деятельность которой признана экстремистской и запрещена на территории РФ
В «Фейсбуке»* мне попалась необычная реклама: предлагали сдать свой аккаунт в соцсети в аренду. Достаточно установить одно приложение — и каждую неделю мне будут за это платить. Честность и законность реклама тоже гарантировала.
![Реклама обещает честно и законно взять мой аккаунт в аренду](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-01.zvlvwnck8izu.png)
Даже если оставить в стороне абсурдность идеи аренды личного аккаунта, это обман. Если установить приложение, злоумышленники получат доступ к вашему браузеру и всему, что в нем хранится. Например, они смогут зайти в вашу почту и разослать спам контактам. Или заглянуть на вредоносный сайт, чтобы установить на компьютер троянскую программу и получить над ним теперь уже полный контроль.
Вот как понять, что вас хотят обмануть:
- Рекламу разместили на недавно созданной странице.
- На сайте есть нестыковки в сумме вознаграждения.
- Аргументы мошенников не проходят проверку фактами.
- Приложение предлагают установить в обход обычных способов.
А теперь подробнее.
Признаки развода в рекламе и на сайте
Фальшивое объявление. В разводе про пиццу мы писали о признаках мошеннических рекламных объявлений. Здесь все то же самое: недавно созданная страница с единственным постом, негативные реакции на объявление, сайт, о котором вы никогда не слышали.
Непонятный размер заработка. По ссылке из рекламы открывается сайт, который обещает легкий заработок. Но мошенник никак не определится — в разных частях страницы встречаются суммы в 600, 1500, 3000, 8000 и 10 000 ₽. Обычно такие нестыковки связаны с тем, что мошенник изначально не собирается никому ничего платить.
![Недавно созданная страница с непонятным названием, всего один подписчик и один пост без комментариев](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-02.tfoziti12snp.png)
![Даже в одном абзаце встречаются разные суммы: 1500 и 3000 ₽](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-03.kcbxidwndxcz.png)
Откровенное вранье. Чтобы вызвать доверие у жертв и заставить их выполнить нужные действия, мошенники обычно придумывают правдоподобные причины своим действиям. Но зачастую эти причины не проходят проверку фактами. Так и тут: мошенники уверяют, что «Фейсбук»* не дает им разместить с одного аккаунта нужное количество объявлений — а это требуется для бизнеса. Только вы сможете их спасти, поэтому они готовы вам платить.
Я не сталкивался с подобным и не знаю, есть ли ограничения на количество рекламных кампаний в «Фейсбуке»*. Но в рекламном кабинете соцсети нашлась возможность делегировать права управления аккаунтом для размещения рекламы — для этого просят указать только имя пользователя. Выходит, аргументы мошенников изначально ложные.
![В настройках рекламного аккаунта в «Фейсбуке»* можно добавить дополнительных администраторов или рекламодателей, которые получат доступ к управлению рекламными кампаниями от моего имени](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-04.74paoyznmvk3.png)
Вредоносное расширение
Самое интересное скрывается в браузерном расширении, которое нужно установить для получения заработка. Браузерные расширения — это мини-программы для добавления новых функций в браузер. Как и приложения при установке на смартфон, браузерные расширения иногда запрашивают доступ к микрофону, камере, интернету и другим опциям.
Подобное браузерное расширение может сильно навредить аккаунту и компьютеру, если получит слишком большие полномочия. Расширение для «аренды» оказалось именно таким, хотя авторы описывали его как безопасное и конфиденциальное.
![Сайт мошенника описывает сотрудничество с ним словами «конфиденциально» и «безопасно». Это, конечно, вранье](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-05.tje5cboi7hoo.png)
Главный признак вредоносности — то, что расширение предлагают установить вручную, в обход официального магазина. Кроме того, оно получает доступ почти ко всему, что позволяет делать браузер, а команды управления отправляются с другого компьютера.
Установка в специальном режиме. Проверенные расширения загружаются через магазин расширений «Гугл-хрома». Но автор объявления не опубликовал свое расширение в магазине, да оно бы и не прошло там проверку безопасности.
Вместо этого он загрузил исходный код расширения на свой сайт и подготовил текстовое описание и видеоинструкцию для установки расширения через специальный режим браузера.
![Авторы по шагам объясняют, как в обход магазина установить их расширение](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-06.esn29mfbc7vr.png)
Расширение получает доступ примерно ко всему. Вопреки заверениям автора, расширение сможет управлять не только рекламным кабинетом «Фейсбука»*. После установки приложение получает доступ к управлению закладками браузера, геолокации, кукам и всем сайтам в интернете, а еще сможет делать снимки экрана. Все говорит о том, что расширение — это средство удаленного управления компьютером.
![Судя по файлу настроек расширения, оно получает доступ ко всему, что есть у браузера. Кроме того, оно включается во всех закладках, а не только там, где открыт «Фейсбук»* или его рекламный кабинет](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-07.eu0nacgnalq2.png)
Расширение получает команды для браузера с другого компьютера. При проверке внутреннего кода я обнаружил несколько опасных фрагментов. Выяснилось, что расширение не управляет браузером самостоятельно, а подключается к какому-то серверу и принимает от него команды.
Проще говоря, через это расширение мошенник получает доступ к вашему браузеру. Например, он может зайти в вашу почту, если браузер помнит от нее пароль, и через нее получить доступ к другим сайтам и личным кабинетам. А всю информацию с вашего экрана автор приложения может увидеть на своем компьютере, потому что расширение умеет делать скриншоты.
Все это удалось проверить благодаря безалаберности мошенника. Оказалось, что он забыл закрыть паролем панель управления, с которой расширение получает команды, и мне удалось на нее зайти. Там обнаружился список компьютеров, где, по всей видимости, установлено вредоносное расширение. Видно, какие из них в сети, можно просматривать список открытых в браузере вкладок, переключаться между ними и открывать новые вкладки. Таких компьютеров тысячи, и каждый день добавляется по 20—30 новых.
![Через исходный код расширения я нашел адрес сервера, который собирает все данные. По этому же адресу работает панель управления со списком компьютеров, на которых, по всей видимости, и установлено расширение](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-08.t7w949mvy4gf.png)
![Пользователь этого компьютера, похоже, очень долго пытается восстановить какой-то из своих паролей](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-10.lhktsohudnru.png)
![На этом компьютере открыт список дней рождения в «Фейсбуке»*](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-09.efpnshxwtnb0.png)
![На этом компьютере открыт новостной сайт](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-11.g0mmbekslzkw.png)
![А здесь воспользовались онлайн-переводчиком](https://opis-cdn.tinkoffjournal.ru/mercury/facebook-account-rent-12.et4vdu8ertop.png)
Что делать, если уже установили подобное расширение
Если уже установили такое расширение и предоставили ему доступ, как можно быстрее удаляйте его через настройки и перезагружайте браузер. Прежним путем злоумышленники уже не смогут получить доступ к браузеру, но они могли успеть установить на компьютер другие приложения или запустить вредоносный код. Поэтому как минимум стоит запустить антивирус.
К сожалению, это не дает гарантии защиты. Получив на несколько минут доступ к компьютеру, хакер может выполнить любые манипуляции, и никто не будет знать, что именно он сделал. Если на вашем компьютере хранятся важные данные, которые ни в коем случае не должны попасть в чужие руки, например пароли от банковских приложений или ядерные коды, то имеет смысл перестраховаться. Наиболее безопасным решением будет переустановка операционной системы с удалением всех данных, кроме самых необходимых, и смена всех паролей.