Czym są tajemnicze linki w komentarzach na hejto.

Czym są tajemnicze linki w komentarzach na hejto.

hejto.pl
Od jakiegoś czasu na portalu Hejto (i ogólnie wszędzie) coraz częściej można zobaczyć tajemnicze linki dodawane w komentarzach i postach. Dzisiaj spróbujemy przeanalizować, o co w tym wszystkim chodzi.

Pytanie dla spostrzegawczych co jest nie tak w załączonych komentarzach.



Poza tym, że nie mają one żadnego sensu, znajduje się w nich link zewnętrzny prowadzący do… komentowanego postu. Cóż przynajmniej tak mogłoby się wydawać. 

W rzeczywistości znajduje się w nich ponad 20 linków do pewnego pliku, oraz dwa linki do komentowanego postu. Linki ukryte są w literach “wydrukowanaprzez” oraz “babilońskamapa” (linki do domeny hejto, znajdują się w pierwszych literach, dlatego właśnie one widoczne są w podglądzie).



Aby rozwiązać zagadkę zamieszczonych treści, należałoby otworzyć stronę i pobrać znajdujący się tam plik. Niestety mogłoby się to wiązać z pewnym zagro…. A tak na poważnie, po odpowiednim przygotowaniu czas zobaczyć co znajduję się w środku. 



A jest to pewien plik PDF ze swego rodzaju opisem filmu Barbie. Plik sam w sobie jest czysty. Natomiast w oczy rzucają się dwie rzeczy. Po pierwsze znajduje się tu odnośnik do domniemanego filmu, po drugie tekst jest napisany mocno nienaturalnie (wielokrotne podanie słów film, barbie, za darmo itp.).

Zanim odpalimy link do filmu, zobaczymy czym jest strona, z której pobraliśmy plik PDF.



A jest to portal stowarzyszenia zrzeszającego studentów fizyki. Dodatkowo wszystko wskazuje na to, że jest to prawdziwa strona tej organizacji. Nie mamy więc do czynienia z podszywaniem się pod instytucję edukacyjną, a z faktycznym hostowaniem plików na ich stronie.

Wejdźmy jednak głębiej, czas odtworzyć film umieszczony w pliku PDF.



Naszym oczom ukazuje się odtwarzacz video, mocno sugerujący zawartość.

Po uruchomieniu video pojawia się logo wytwórni Fox co może, być nieco podejrzane zważywszy na to, że film barbie stworzyła wytwórnia Warner Bros. Pictures. Idźmy jednak dalej.



Po kilku sekundach pojawia się komunikat.



No cóż, czas więc założyć darmowe konto w serwisie.



Niestety na tym nasza przygoda dobiega końca, gdyż mamy do czynienia z martwym linkiem .

No dobrze, ale o co w tym wszystkim chodzi?

Oszustwo wygląda następująco.

Oszuści zamieszczają ukryte linki, na forach i serwisach społecznościowych w celu polepszenia wyników wyszukiwania ich stron. Linki zewnętrzne znajdujące się na stronach z dobrą reputacją (tutaj hejto), są celowo ukrywane, aby utrudnić ich wykrycie przez administracje.

Wyszukiwarki internetowe indeksują linki oraz słowa kluczowe, zwiększając w ten sposób szanse na pojawienie się którejś z licznych stron w wynikach wyszukiwania.

Plik PDF z opisem znajduje się na prawdziwej stronie o dobrej reputacji (najprawdopodobniej nieodpowiednio zabezpieczonej), więc wyszukiwarka nie uznaje go za spam i dodaje do bazy danych

W pliku PDF znajduje się link do strony o złej reputacji (którą wyszukiwarki indeksują daleko w tyle).

Na stronie znajduje się plik wideo, który do obejrzenia wymaga rejestracji. 

W tym momencie trafiliśmy na martwy link, natomiast samo oszustwo jest powszechne i występuje w dwóch wersjach.

  1. Po rejestracji pojawi się komunikat o przeciążonych serwerach, wraz z informacją jak wykupić film w wersji premium w celu pobrania go poza kolejnością.
  2. Znajdzie się tam link do pobrania pliku zawierającego złośliwe oprogramowanie.

#cyberbezpieczenstwo #cybersecurity

Komentarze (42)

mrmydlo

Bardzo fajnie że ktoś to wyjaśnił w koncu

Pendrak

Komentarz usunięty przez moderatora

mrmydlo

@Pendrak spieprzaj na czarną idioto

Pendrak

Komentarz usunięty przez moderatora

PanGargamel

Pierwszy. ps. dzięki za takie wpisy!

VonTrupka

>pierwszy


@PanGargamel otóż nie tym razem xD

bd2f087e-52a7-4117-bda4-3a807f078a9b
Acrivec

@doki16 spamboty, koniec wpisu. Nie chce mi się nawet próbować czytać tej ściany tekstu.

SlavedWizard

@Acrivec Pycha i ignorancja kroczy przed upadkiem.

Rudolf

@Acrivec ty dopiero gały zrobisz jak książkę na żywo zobaczysz, tam dopiero jest nasrane tych literek. ludzie nie mają co robić nie

banita77

@doki16 Laik jak ja się czegoś dowiedział. Dzięki. Piorun leci.

bojowonastawionaowca

@doki16 Brawo, bardzo dobra robota śledcza i bardzo dobre wyjaśnienie, pokrywa się z naszym Dopowiem, że pierwsze przypadki, które się zaczęły pojawiać na portalu, były związane z Indonezją, ale teraz już większej regularności pod tym względem już nie ma

doki16

@bojowonastawionaowca  Pewnie hejto wylądowało już na jakiejś ogólnodostępnej liście serwisów do spamowania. Cóż... na pocieszenie powiem, że obecność botów potwierdza rozwój serwisu  

SlavedWizard

@bojowonastawionaowca Tak z ciekawosci, jak wyglada UEBA na takim uzytkowniku jak w przykladzie?

To jakas siwadoma bialkowa akcja usera czy stillniete/zrobione konto pod taka automatyzacje?

bojowonastawionaowca

@SlavedWizard nie ma zachowań bota, szybko reaguje na zmiany więc raczej człowiek

sireplama

@doki16 ilość spamu miarą wielkości:) Takie czasy

em-te

@bojowonastawionaowca  masz nowego bota https://www.hejto.pl/uzytkownik/evan-welsh

SlavedWizard

Dobra robota kolego. Z tym przygotowaniem to nastepnym razem na szybko zsandboxuj sobie cala ta sesje

doki16

@SlavedWizard  Spokojnie, wszystko było przeprowadzone w sandboxie (VirtualBox + virtual comodo dragon) ;)

SlavedWizard

@doki16 To ja tylko podziele sie moim podejsciem, nie robie juz do takich akcji srodowisk virtualizacyjnych u siebie. Anyrun, hybridanalysis, joesandbox plus kilka fajnych ciekawych "'nowinek'" na tym rynku do skorelowania wynikow. Wspominam tylko rozwiazania free. Paid to inna liga i nie oczekuje ze kazdy ma

Stay safe m8!

KLH

Mądrego po szkołach przyjemnie poczytać!


Wreszcie jakaś treść sensowna. Niby sprawa oczywista, ale przyjemnie poczytać coś składnie napisanego i sensownie poprowadzonego. Dla samej formy warto.

Pominę nawet to, że każdy wpis, który nie dotyczy tego, że komuś się czegoś nie chce albo chce jest tu jak złoto

Gracz_Komputerowy

Przez to całe indeksowanie, raki typu SEO, Google powoli staje się bezużyteczne.

cec

@Gracz_Komputerowy i przez skurwysynów publikujących w internecie treści przetłumaczone translatorem i wygenerowane przez czat gpt. Wchodzisz na jakąś stronę, a tam bełkot (╯ ͠° ͟ʖ ͡°)╯┻━┻

NiebieskiSzpadelNihilizmu

@Gracz_Komputerowy SEO od samego początku było rakiem nastawionym na psucie wszystkiego do czego się przylepi.

Rebe-Szewach

@doki16 Dziękuję i piorun.

InstytutKonserwacjiMaryliRodowicz

Ostatnio też natrafiłem na znalezisko albo wpis z kilkoma dziwnymi linkami. To była jedyna aktywność użytkownika. Chciałem to zgłosić ale się nie dało...

prepetum_mobile

@doki16 nie widziałem takich linków, ale od razu wiedziałem, że chodzi o SEO. Muszę jednak przyznać, że zaskoczył mnie ten trik z linkowaniem z pojedynczych literek, całkiem kreatywne i pozwala nieźle zamaskować spam

sireplama

Ale żeś doktorat tu strzelił Łap pioruna

Bezkid

@doki16 Ja jestem ciekaw jak do tego sie przygotowales. Podstawa pewnie byl czysty komputer, moze jakas publiczna siec i windows sandobx. Napisz mi prosze czy sie myle, a jesli tak to jeszcze jakie kroki zrobiles aby to zabezpieczyc

VonTrupka

@Bezkid wirtualna maszyna lub kontener, windowsowy sandbox nie jest aż tak bezpieczny

do tego jeszcze wypada przyblokować wszelki ruch w sieci wewnętrznej lub monitorować

doki16

@Bezkid Maszyna wirtualna z systemem win 10 w VirtualBox (zablokowana przestrzeń współdzielona i ruch w sieci wewnętrznej). Dodatkowo wykorzystanie izolowanego kontenera (virtual comodo dragon).

bonktoguwnowspreju

Polecam kanał na yt Łukasz Lemparski jeśli mnie pamięć nie myli to ma filmik jak zrobić sobie odseparowane środowisko. Gość zna się na rzeczy. Poza tym tak jak reszta wspomniała wyżej godne uwagi są środowiska online typu anyrun urlscanio. Risiq itp A jak ktoś chce więcej takich ciekawostek to sekurak (sporo tutoriali na yt mają i darmowych pokazów) , zaufana trzecia strona i chyba jeszcze niebezpiecznik.

Pan_Oski

Może czas @hejto na jakieś rozwiązanie problemów z botami? Moglibyście wymusić weryfikację na użytkowników podczas rejestracji, gdzie na większości stron jest ono zaimplementowana

gs80

A ja się zawsze zastanawiałem jak są takie pdfy pozycjonowane.

ralfek

to jest tak zwane parasite seo, czyli wbijanie sie na niezabezpieczone strony o duzym authority zeby wypozycjonowac swoj spam

onionspirit

@doki16 Jak się zabezpieczasz przed otwarciem podejrzanego linku? Uruchamiasz coś w maszynie wirtualnej, czy da się prościej?

doki16

@onionspirit 

Ja używam maszyny wirtualnej: "Maszyna wirtualna z systemem win 10 w VirtualBox (zablokowana przestrzeń współdzielona i ruch w sieci wewnętrznej). Dodatkowo wykorzystanie izolowanego kontenera (virtual comodo dragon)." 


Niektórzy tutaj polecają używać serwisów typu Anyrun czy hybridanalysis, natomiast przy przeglądaniu podejrzanych stron, osobiście preferuje wysoką kontrolę nad tym co robię także wole ręcznie sprawdzać co jest nie tak.


Mimo że samo przeglądanie internetu jest relatywnie bezpieczne, polecam poświęcić kilka minut i skonfigurować maszynę wirtualną, choćby dla samego tworzenia nawyków bezpiecznego testowania potencjalnego oszustwa.

goodfella

To ta firma Roba Gryna robi taki syf

Zaloguj się aby komentować