Аренда аккаунта в «Фейсбуке»*: как мошенники получают доступ к вашему компьютеру

Распространенность: реклама в соцсетях
Риск: 💰💰💰💰💰

В «Фейсбуке»* мне попалась необычная реклама: предлагали сдать свой аккаунт в соцсети в аренду. Достаточно установить одно приложение — и каждую неделю мне будут за это платить. Честность и законность реклама тоже гарантировала.

Даже если оставить в стороне абсурдность идеи аренды личного аккаунта, это обман. Если установить приложение, злоумышленники получат доступ к вашему браузеру и всему, что в нем хранится. Например, они смогут зайти в вашу почту и разослать спам контактам. Или заглянуть на вредоносный сайт, чтобы установить на компьютер троянскую программу и получить над ним теперь уже полный контроль.

Вот как понять, что вас хотят обмануть:

1. Рекламу разместили на недавно созданной странице.
2. На сайте есть нестыковки в сумме вознаграждения.
3. Аргументы мошенников не проходят проверку фактами.
4. Приложение предлагают установить в обход обычных способов.

А теперь подробнее.

Фальшивое объявление. В разводе про пиццу мы писали о признаках мошеннических рекламных объявлений. Здесь все то же самое: недавно созданная страница с единственным постом, негативные реакции на объявление, сайт, о котором вы никогда не слышали.

Непонятный размер заработка. По ссылке из рекламы открывается сайт, который обещает легкий заработок. Но мошенник никак не определится — в разных частях страницы встречаются суммы в 600, 1500, 3000, 8000 и 10 000 ₽. Обычно такие нестыковки связаны с тем, что мошенник изначально не собирается никому ничего платить.

Откровенное вранье. Чтобы вызвать доверие у жертв и заставить их выполнить нужные действия, мошенники обычно придумывают правдоподобные причины своим действиям. Но зачастую эти причины не проходят проверку фактами. Так и тут: мошенники уверяют, что «Фейсбук»* не дает им разместить с одного аккаунта нужное количество объявлений — а это требуется для бизнеса. Только вы сможете их спасти, поэтому они готовы вам платить.

Я не сталкивался с подобным и не знаю, есть ли ограничения на количество рекламных кампаний в «Фейсбуке»*. Но в рекламном кабинете соцсети нашлась возможность делегировать права управления аккаунтом для размещения рекламы — для этого просят указать только имя пользователя. Выходит, аргументы мошенников изначально ложные.

Самое интересное скрывается в браузерном расширении, которое нужно установить для получения заработка. Браузерные расширения — это мини-программы для добавления новых функций в браузер. Как и приложения при установке на смартфон, браузерные расширения иногда запрашивают доступ к микрофону, камере, интернету и другим опциям.

Подобное браузерное расширение может сильно навредить аккаунту и компьютеру, если получит слишком большие полномочия. Расширение для «аренды» оказалось именно таким, хотя авторы описывали его как безопасное и конфиденциальное.

Главный признак вредоносности — то, что расширение предлагают установить вручную, в обход официального магазина. Кроме того, оно получает доступ почти ко всему, что позволяет делать браузер, а команды управления отправляются с другого компьютера.

Установка в специальном режиме. Проверенные расширения загружаются через магазин расширений «Гугл-хрома». Но автор объявления не опубликовал свое расширение в магазине, да оно бы и не прошло там проверку безопасности.

Вместо этого он загрузил исходный код расширения на свой сайт и подготовил текстовое описание и видеоинструкцию для установки расширения через специальный режим браузера.

Расширение получает доступ примерно ко всему. Вопреки заверениям автора, расширение сможет управлять не только рекламным кабинетом «Фейсбука»*. После установки приложение получает доступ к управлению закладками браузера, геолокации, кукам и всем сайтам в интернете, а еще сможет делать снимки экрана. Все говорит о том, что расширение — это средство удаленного управления компьютером.

Расширение получает команды для браузера с другого компьютера. При проверке внутреннего кода я обнаружил несколько опасных фрагментов. Выяснилось, что расширение не управляет браузером самостоятельно, а подключается к какому-то серверу и принимает от него команды.

Проще говоря, через это расширение мошенник получает доступ к вашему браузеру. Например, он может зайти в вашу почту, если браузер помнит от нее пароль, и через нее получить доступ к другим сайтам и личным кабинетам. А всю информацию с вашего экрана автор приложения может увидеть на своем компьютере, потому что расширение умеет делать скриншоты.

Все это удалось проверить благодаря безалаберности мошенника. Оказалось, что он забыл закрыть паролем панель управления, с которой расширение получает команды, и мне удалось на нее зайти. Там обнаружился список компьютеров, где, по всей видимости, установлено вредоносное расширение. Видно, какие из них в сети, можно просматривать список открытых в браузере вкладок, переключаться между ними и открывать новые вкладки. Таких компьютеров тысячи, и каждый день добавляется по 20—30 новых.

Если уже установили такое расширение и предоставили ему доступ, как можно быстрее удаляйте его через настройки и перезагружайте браузер. Прежним путем злоумышленники уже не смогут получить доступ к браузеру, но они могли успеть установить на компьютер другие приложения или запустить вредоносный код. Поэтому как минимум стоит запустить антивирус.

К сожалению, это не дает гарантии защиты. Получив на несколько минут доступ к компьютеру, хакер может выполнить любые манипуляции, и никто не будет знать, что именно он сделал. Если на вашем компьютере хранятся важные данные, которые ни в коем случае не должны попасть в чужие руки, например пароли от банковских приложений или ядерные коды, то имеет смысл перестраховаться. Наиболее безопасным решением будет переустановка операционной системы с удалением всех данных, кроме самых необходимых, и смена всех паролей.