Cracker „patriota” przygotował atak, który miał omijać Polaków. Nie do końca zadziałało

Często mówi się o atakach cyberprzestępców na Polaków, spośród których dużą część realizują nasi rodacy. Ten przypadek jest jednak inny. Władający językiem polskim napastnik poczuł w sobie ducha patriotyzmu i postanowił odpuścić swojakom, donosi Zaufana Trzecia Strona.

Cracker „patriota” przygotował atak, który miał omijać Polaków. Nie do końca zadziałało
Piotr Urbaniak

27.12.2018 10:07

Celem okazali się natomiast mieszkańcy państw francuskojęzycznych, a więc Francuzi, Belgowie i w mniejszym stopniu Kanadyjczycy. Jako nośnik ataku wykorzystano klasyczną sztuczkę: udostępniany na Facebooku obrazek, skonstruowany tak, aby zachęcić do kliknięcia. Mówiąc prościej, napastnik wykadrował kluczową część grafiki, licząc na ciekawość innych osób.

Źródło: Zaufana Trzecia Strona / Facebook
Źródło: Zaufana Trzecia Strona / Facebook

Grafiki miały formę powszechnych na Facebooku żartów obrazkowych. Przykładowo, widoczny powyżej tytuł w polskim przekładzie brzmi „Jak wygląda życie przed i po 30-stce”.

if (request.response == "PL\n")

Jak nietrudno się domyślić, kliknięcie w obrazek skutkowało przeniesieniem na stworzoną przez napastnika stronę. Co jednak zaskakujące, skrypt odrzucał połączenia z Polski, odsyłając krajowe wizyty pod nieistniejącą domenę http://niedlapsak**adlapana.to*.

Przy czym z komentarzy użytkowników z3s wynika, że zabezpieczenie nie zawsze działało. I nawet na prywatnych komputerach, bez zagranicznego proxy, strona docelowa potrafiła się odpalać.


var request = new XMLHttpRequest();
    request.open('GET', 'https://get.geojs.io/v1/ip/country');
    request.send();
    request.onreadystatechange = function () {
        if (request.readyState === 4 && request.status === 200) {

            if (request.response == "PL\n"){
                top.location.href = 'http://niedlapsak***adlapana.to';
            }

        }
    }

Internauci z innych zakątków świata otrzymywali zaś prośbę o potwierdzenie wieku, co skutkowało udostępnieniem sfabrykowanego memu na własnej tablicy. W dalszej kolejności dochodziło do jeszcze jednego przekierowania, tym razem do podstrony w nieaktywnej już domenie highfives.space. Tam wysypywały się liczne reklamy, a także instalowało ciasteczko, gwarantujące napastnikowi prowizję od zakupów w sklepie G2A. Nie ustalono, czy to wszystkie pomysły napastnika.

Ciekawostką jest, że atak wygenerował naprawdę imponujący ruch, więc nawet jeśli chodziło wyłącznie o sztuczne napędzenie przekierowań do treści reklamowej, to przy blisko 2,4 mln klików z jednego tylko linku pomysłodawca może mówić o dużym sukcesie.

Źródło: Zaufana Trzecia Strona
Źródło: Zaufana Trzecia Strona

Osobną kwestię stanowi, że poszkodowani zostali głównie reklamodawcy w Google Ads, a nie prywatni użytkownicy Facebooka. (A w tym może tkwić także drugie dno zabezpieczenia przed wizytami z Polski, ponieważ nasz kraj ma wyjątkowo słaby współczynnik konwersji w systemie Google'a, przez co reklamowym clickjackerom nie zależy zbytnio na polskim odbiorcy).

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (13)