Oszustwo na Play24? Wyjaśniamy wątpliwości czytelnika
Rano otrzymaliśmy mail od jednego z naszych czytelników, pana Sebastiana, który doświadczył bardzo nietypowej sytuacji, wchodząc na oficjalną stronę internetową Play24 ze smartfonu z systemem Android. Na witrynie pojawił się baner zachęcający do instalacji aplikacji Play24, jednak link pod nim kierował nie do Google Play, lecz scamu z rzekomą nagrodą.
„Na stronie play24 (otwartej na telefonie) pojawia się na górze baner zachęcający do instalacji aplikacji. Po kliknięciu tego baneru, zamiast sklepu Google otwiera się w dodatkowej zakładce oszukańcza strona o rzekomej wygranej (cofanie na tej stronie powoduje jeszcze otwarcie stron z reklamami porno)” – pisze pan Sebastian. (Zachowano oryginalną pisownię).
Co kluczowe, czytelnik doświadczył analogicznej sytuacji, po przeprowadzeniu wizyty z innego urządzenia z Androidem, i połączył się w trybie incognito przeglądarki Chrome.
Pan Sebastian, poprzez forum internetowe dla abonentów, powiadomił o tym operatora. Helpdesk potwierdził problem i nawet zdołał go wyeliminować. Pytanie: jak w ogóle doszło do tego, że jakiś oszust dostał się na stronę telekomu i podłożył tam własny odnośnik?
Możliwych wytłumaczeń jest kilka
Najprostsza odpowiedź brzmi: włamano się na serwer Playa i spreparowano stronę. Tyle że jest to zarazem odpowiedź irracjonalna, bo trudno sobie wyobrazić sytuację, w której cracker najpierw podejmuje trud sforsowania zabezpieczeń serwera, a następnie ogranicza działalność do podłożenia banalnego scamu. W takim wypadku troszkę ciekawsza byłaby zawartość bazy danych.
Drugi scenariusz – podłożono fałszywą reklamę Google Ads. Tak można podejść każdego wydawcę, który wykorzystuje na swojej stronie otwarty system reklamowy z funkcją kierowania reklam do konkretnego odbiorcy, w tym odwiedzających konkretne witryny. Jednak chyba nikt o zdrowych zmysłach nie spodziewa się, że Play umieszcza na swojej stronie losowe reklamy. Pomijając oszustów, byłoby to zaproszenie dla marketingowców firm konkurencyjnych.
Ale tylko jedno ma większy sens
Trzecie rozwiązanie, zdecydowanie najbardziej prawdopodobne, to zatruty DNS. Chodzi o atak polegający na przesłaniu do serwera DNS fałszywej informacji kojarzącej nazwę domeny z adresem IP. Serwer taką nazwę zapamiętuje i zwraca podłożony adres IP, przekierowując na stronę wybraną przez napastnika. Przy czym w tym wypadku celem nie był telekom sam w sobie.
Przekierowanie do scamu następowało jedynie w wypadku użycia sprzętu z Androidem, a nie iOS czy Windowsem. To dlatego, że powiązanie aplikacji z witryną realizuje API Google Play. Wniosek? Crackerzy tym razem zabawili się z firmą Google, a klienci sieci Play oberwali przypadkiem. Warto tylko wiedzieć, że na tej samej zasadzie analogiczny przekręt może się pojawić wszędzie tam, gdzie strona internetowa zachęca do pobrania skojarzonej aplikacji mobilnej.
Zadaliśmy pytania o zaistniałą sytuację przedstawicielowi firmy Play. Obiecał wrócić do nas z wyczerpującą odpowiedzą, kiedy tylko firma ustali wszystkie szczegóły ataku.
