martes, 6 de diciembre de 2011

Facebook virus y estafas

Ya son mas que conocidas la diferentes estafas que se aprovechan las redes sociales para transmitirse de forma masiva. Anteriormente se utilizaban las mismas paginas de aplicaciones, y aun muchos estafadores siguen usándolas para engañar a cualquier usuario indefenso y así poder propagarse.
¿Que beneficio sacan de ello, si no es hacer daño?
Si nos ponemos a revisar cada uno de ellos nos daremos cuenta que existen diferentes modalidades. -La mas utilizada es para pishing, poder robar cuentas bancarias deja muchos dinero y para poder obtener datos de alguna cuenta hay que buscar entre muchos usuarios.
-La otra similar se trata de una estafa directa, haciendo que el usuario mande dinero.
-Y por ultima la mas benigna es la llevar a usuarios a paginas con publicidades y AdSense, donde ellos están registrados y les pagan por cada usuario que entre.
---------------------------
La revancha del creador faceplus
Tiempo atrás uno de los temas mas spamedao hablado, era el supuesto "faceplus". Una aplicación que supuestamente permitía costumizar o personalizar tu perfil de facebook. Se instalaba la aplicación e inmeditamente, esta mandaba una publicacion a todos tus contactos para que la descarguen. Obviamente la cantidad de spam que generaba era enorme.

Hace un tiempo empecé a eliminar "paginas de facebook" por la cantidad de publicaciones de videos, y que generaba una especie de spam indirecto ya que la idea de facebook es mostrarte la actualizacion de tus contactos. Pero después empecé a notar publicaciones de "videos" de persona, algunos con mensajes en un español medio centroamericano y se me ocurrió investigar.


Yendo a la pagina en cuestión, que casualidad me faltaba un plugin novedoso de youtube, aunque todos usamos youtube normalmente.


Veamos un poco el código:


1-En primer lugar tenemos que lo que se muestra es un iframe de una pagina llamada "fanvisitas" así que el código del plugin esta ahí.
2-En segundo lugar tenemos un script de adsense google. Está bien, el quiere ganar algo de dinero, después de todo se la pasa compilando vídeos ¿no?

En la pagina del enlace:




¿Porque los plugins de youtube estarían alojados en fanvista? ¿No deberían descargarse directamente desde el servidor de youtube? Algo raro ¿No?. Entonces entremos a la pagina de fanvisitas y veamos que podemos encontrar.

Ajá!, el autor de la pagina anterior es el mismo de FacePlus. Bueno al menos el tubo la consideración de advertírtelo:

---------------------------
Otra cosa, si hacemos un whois al dominio nos saldrá algo así
Domain Name: FANVISITAS.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS5.SAAPY.COM
Name Server: NS6.SAAPY.COM
Status: clientTransferProhibited
Updated Date: 05-dec-2011
Creation Date: 07-nov-2011
Expiration Date: 07-nov-2012
Ahora si averiguamos dentro del servidor sobre datos de titular de esta pagina

Name: Domain Admin
Company: PrivacyProtect.org
Address: ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org

Eso quiere decir que está protegida. No vaya a ser que alguien quiera tomar represalias. ;)
---------------------------------
Actualizacion (11/12):
De la misma forma aunque un poco mas evidente

El código de fuente no lo dejo porque es bastante similar al anterior. Utiliza un fondo falso de facebook, nada mas complejo que eso. El falso plugin se descarga de un servidor vevideo.com.es.
Si queremos entrar a la pagina principal esta nos redirecciona a otra que te pide tu usuario y contraseña de hotmail, es genial! no solo busca transmitir malware y estafar. Sino que también te quiere robar el correo electrónico.

Para ponerle un poco de humor, quieres saber quien es el encargado de esto:
http://www.whois.net/whois/servervideotube.com

Actualizacion (19/12): Veo que siguen apareciendo mas paginas, esta es otra http://vk3.me/es/?3090. Con un aspecto similar a youtube No son mas que imágenes de fondo. En este caso, tanto la pagina como los plugins están alojados en el mismo servidor.

Saludos y tengan cuidado con lo que instalan.

4 comentarios:

  1. Esee viruus mee tiene las *** llenaaaaaaas!!
    Haay que denunciar sus cuentas, o en google! para prevenir a mas gente

    ResponderEliminar
  2. Se puede denuncia como malware, pero las leyes de spam y otras no se aplican debido a que en la pagina presenta los terminos y condiciones.
    Al instalarlo uno está aceptando esas condiciones.

    Saludos!

    ResponderEliminar
  3. a mi se me autoredirecciona como lo saco ?

    ResponderEliminar
  4. que tal, la mayoria son plugins que se pueden desintalar faculmente.
    En google chrome: entrar a "chrome://settings/extensions" y desintalar el complemento.
    En firefox: ir a Herramientas - Complementos y desintalarlo en Extensiones o en plugina.

    Saludos

    ResponderEliminar