Cracker „patriota” przygotował atak, który miał omijać Polaków. Nie do końca zadziałało
Często mówi się o atakach cyberprzestępców na Polaków, spośród których dużą część realizują nasi rodacy. Ten przypadek jest jednak inny. Władający językiem polskim napastnik poczuł w sobie ducha patriotyzmu i postanowił odpuścić swojakom, donosi Zaufana Trzecia Strona.
Celem okazali się natomiast mieszkańcy państw francuskojęzycznych, a więc Francuzi, Belgowie i w mniejszym stopniu Kanadyjczycy. Jako nośnik ataku wykorzystano klasyczną sztuczkę: udostępniany na Facebooku obrazek, skonstruowany tak, aby zachęcić do kliknięcia. Mówiąc prościej, napastnik wykadrował kluczową część grafiki, licząc na ciekawość innych osób.
Grafiki miały formę powszechnych na Facebooku żartów obrazkowych. Przykładowo, widoczny powyżej tytuł w polskim przekładzie brzmi „Jak wygląda życie przed i po 30-stce”.
if (request.response == "PL\n")
Jak nietrudno się domyślić, kliknięcie w obrazek skutkowało przeniesieniem na stworzoną przez napastnika stronę. Co jednak zaskakujące, skrypt odrzucał połączenia z Polski, odsyłając krajowe wizyty pod nieistniejącą domenę http://niedlapsak**adlapana.to*.
Przy czym z komentarzy użytkowników z3s wynika, że zabezpieczenie nie zawsze działało. I nawet na prywatnych komputerach, bez zagranicznego proxy, strona docelowa potrafiła się odpalać.
var request = new XMLHttpRequest();
request.open('GET', 'https://get.geojs.io/v1/ip/country');
request.send();
request.onreadystatechange = function () {
if (request.readyState === 4 && request.status === 200) {
if (request.response == "PL\n"){
top.location.href = 'http://niedlapsak***adlapana.to';
}
}
}
Internauci z innych zakątków świata otrzymywali zaś prośbę o potwierdzenie wieku, co skutkowało udostępnieniem sfabrykowanego memu na własnej tablicy. W dalszej kolejności dochodziło do jeszcze jednego przekierowania, tym razem do podstrony w nieaktywnej już domenie highfives.space. Tam wysypywały się liczne reklamy, a także instalowało ciasteczko, gwarantujące napastnikowi prowizję od zakupów w sklepie G2A. Nie ustalono, czy to wszystkie pomysły napastnika.
Ciekawostką jest, że atak wygenerował naprawdę imponujący ruch, więc nawet jeśli chodziło wyłącznie o sztuczne napędzenie przekierowań do treści reklamowej, to przy blisko 2,4 mln klików z jednego tylko linku pomysłodawca może mówić o dużym sukcesie.
Osobną kwestię stanowi, że poszkodowani zostali głównie reklamodawcy w Google Ads, a nie prywatni użytkownicy Facebooka. (A w tym może tkwić także drugie dno zabezpieczenia przed wizytami z Polski, ponieważ nasz kraj ma wyjątkowo słaby współczynnik konwersji w systemie Google'a, przez co reklamowym clickjackerom nie zależy zbytnio na polskim odbiorcy).