私は、何が起こるかについて見るために、Facebook詐欺をクリックしました


だから、Facebookを利用して突然スクロールしている.

閉じるこの動画はお気に入りから削除されています.

あなたは、すぐに何がここで間違っているかについて見ますか?出発するにはデルタ航空は33回目の記念日に2人の無料チケットを出すつもりはない.
次に、画像の下部にあるURLを見てください.

確かに、それはデルタ別のウェブサイトを所有する可能です.しかし、デルタ航空が何かのために無料チケットを出すつもりであるならば、それがマーケティングの目的のためであると言うのは安全です.COM .

表面


今、私は好奇心旺盛なので、私はサイトを参照しながら、私はWresharkを引っ張って自分のトラフィックを嗅ぎ始める.

It should be noted that I should have done this in a VM. It is very possible that it could have been a drive by malware attack, meaning my computer would have been infected as soon as I visited the site...aaaand later you'll see why this matters.



すぐに、私はこのサイトが安全でないのを見ます.私は質問をクリックして、私にページのようなFacebookのリンクを共有するように私に促したページに達しました.私がリンクを共有する方法がなかったので、これは私の停止点でした.

I looked up whether or not it would be possible to trick the site into thinking the link was shared, but I didn't see any hacky javascript to check that. It would have to be something hacky because you can't really track whether or not a user shared a Facebook post without having the user authenticate to your site using Facebook. (Correct me if I'm wrong here. I'm not an expert on Facebook's Share tracking)


ページの下部には、「ユーザー」からのFacebookのコメントがあり、チケットを受け取ることを確認していました.これは、彼らのサイトを合法化する試みで、一般的なメソッド詐欺師です.

フードの下の覗き見


私は1分間、サイトのソースコードを見て、私が気づいた最初のものは、すべてのハードコード化されても、いわゆるFacebookのコメントであった.“ユーザー”画像は、ランダムユーザーと呼ばれるサイトから来ました.ストックフォト.

私はそれを見るのは難しい(ズームを自由に感じる)知っているが、これらはすべてのハードコードのコメントは、ページ上に発見されます.

それから、より近い観察は、ここにあります.どこで彼らはハードコメントの年齢と一緒にコメントの好きな数をコーディングして見ることができます.
<div id="fb1" class="item hidden">
    <img class="profileimg" src="https://randomuser.me/api/portraits/women/53.jpg" />
    <p class="comtxt"><span class="name">Radford Sarah</span> Wow, i won a free tickets from Delta Airline. </p>
    <p class="combot"><span class="ago">Just Now</span> · <span class="fblike">Like</span></p>
</div>
<div class="item">
    <img class="profileimg" src="https://randomuser.me/api/portraits/women/46.jpg" />
    <p class="comtxt"><span class="name">Deleon Sandra</span> Such a Great Service! Thanks Delta Airline.</p>
    <p class="combot"><span class="ago">11 minutes ago</span> · <span class="fblike">Like</span><span class="likes totlikes">267</span></p>
</div>
<div class="item">
    <img class="profileimg" src="https://randomuser.me/api/portraits/women/89.jpg" />
    <p class="comtxt"><span class="name">Brenda Vaughn</span> I am finally going  to France with my friends.. Thanks Delta Airline!</p>
    <p class="combot"><span class="ago">17 minutes ago</span> · <span class="fblike">Like</span><span class="likes totlikes">63</span></p>
</div>

余分な楽しみのために、ページは新しいコメントをそれがフェイスブックコメントが活発に更新されていて、他のユーザーによって加えられたように見えるように見える若干のJavaScriptを持っていました.また、ユーザーがコメントを追加し、コメントリストにフェードすることができますが、コメントがどこにでも永続化されることはありません.
これについての興味深い部分は、サイトは私からの情報を求められず、ソースコードに基づいているということです.以下のコードに基づいて、ホストがちょうどあなたにリンクを共有したいと思うかのようです.それはあなたが実際にそれを確認する方法を持っていない、と別のセクションにユーザーを進めるために任意の条件文はありません.ユーザーが何をしたとしても、彼らは常にステップ2に進むことを試みたときにステップ1を完了するように彼らに言っているポップアップを得ます.ユーザーから個人情報を得ることが目的でないならば、このサイトはフィッシングサイトでありません.それはおそらくマルウェアを提供するために使用される以上です.
<div id="final">
    <p align="center" class="prodname">Step 1</p>
    <p align="center" class="prodname">Share this page by clicking "SHARE" button and type "Thanks #Delta Airline!" in the comments field!</p>
    <p align="center">
        <a id="go" href="javascript:void(0)" onClick="gt=window.open('https://www.facebook.com/sharer/sharer.php?u=' + link + '', 'gt','top=176,left=500,toolbar=no,location=yes,directories=no,status=no, menubar=no,scrollbars=no,resizable=no,width=800,height=50'); gt.onload = function () {gt.focus();}; return false;"><strong><img src="http://i.imgur.com/xzmclDm.png" align="top" border="0"></strong></a>
    </p>
    <div class="cont clearfix">
        </br>
        </br>
        <p align="center" class="prodname">Step 2</p>
        <div align="center">
            <p align="center" class="prodname">Click Like</a></p>
            <a id="to" href='javascript:window.alert("Complete Step 1 to get the Coupon!");'> <br/><img src="http://i.imgur.com/7FesHcD.jpg"> </a>
            <div class="loading-wrap">
                <p align="center" class="prodname">Verifying steps </p>
                <img src="http://i.imgur.com/x557web.gif" height="75" alt="Loader image not found">
            </div>
        </div>
    </div>
</div>
私もGoogle Chromeの点検ツールでネットワークトラフィックを見るためにサイトを通って行きました、そして、サイトが私のブラウザーとオペレーティングシステムに関して情報を引っ張っていたのを発見しました.また、私の地理的な位置に関する情報を収集しました.この全てはマルウェアの配信に関する私の理論に沿っているようです.ブラウザのバージョンとオペレーティングシステムについての情報を収集することは、ユーザーのマシンが脆弱であるかどうかを確認するために使用することができますバックエンドのコードは、マルウェアを配信するかどうかを決定することができます.
私は、VxStream(ハイブリッドAnalysis Analysis . comでホストされます)と呼ばれているマルウェアスキャナでホストを走らせました、そして、ユーザーがInternet Explorerを走らせているならば、ウェブサイトは実際に何かもっとおもしろいことをします.インターネットエクスプローラーの別のインスタンスを起動します.システムのセキュリティ設定を含むレジストリ設定の束をお読みください.それはRasmanサービスへのアクセスを要求しました.ユーザーがオペレーティングシステムとブラウザーを走らせていたならば、何かをインストールする準備ができているように見えます、しかし、私は完全に確信することができません.私はサンドボックスにいました、そして、マルウェアが回避戦術を使用するならば、それは必ずしも信頼性がありません.

結論

  • サーバIP : 104.18.58.70
  • そばに主催しました:Cloudflare
  • Webサーバー
  • ドメイン:deltaa com.米国
  • 私はドメインのwhoisルックアップをして、我々の登録者が彼の個人情報を不明瞭にする気にしなかったとわかりました.

    私は彼の電話番号、メールアドレス、メールアドレスを消しました.知ってる?あなたがそれを見つけたいならば、それは公的な情報です..それは私の仕事ではない.

    この調査では、私の結果は決定的ではない.私は、このサイトがマルウェアを配布するとかなり確信しています、しかし、私はリモートホスト(おそらくbotnet?)への接続を確立するより、どんな種類とそれが何をするかを言うことができません.Virtustotalは今マルウェアとしてこのホストを識別した2つのURLスキャナを持っています(私が最初にチェックしたとき、それはどんなヒットも持ちませんでした).
  • virustotal.com/en/url/97553c0...
  • また、それは現在スカーリのSitecheckにブラックリストされました.
  • sitecheck.sucuri.net/results/deltaa-com.us
  • 私は、Cloudflareがホストをシャットダウンする前に、それが時間の問題であると仮定します、しかし、それは多分別のIPアドレスと/またはホスト名でどこか他の場所で再び開くでしょう.これは、サイトのこれらのタイプのすべての時間が発生するわくわくのモルのゲームです.
    あなたは、Facebook上で特に不快な詐欺を見たことがありますか?何が最も法外な主張でしたか?
    このホストは、既知のアフィリエイトリンクサイトです.ユーザーは自分のリンクを共有するときにお金を稼ぐ.ユーザーに無害です.