Recent, utilizatorii bine-cunoscutei aplicații de mesagerie WhatsApp sunt vizați de o campanie de phishing al cărui scop este de a-i determina pe aceștia să se aboneze la diferite servicii taxate prin SMS, să instaleze malware pe dispozitivul mobil sau să comande anumite produse „minune” de slăbit în timp record.
Mesajul inițial care este primit de utilizatori este următorul:
„!!! Aplicația WhatApp va costa 0.01 $ pentru fiecare mesaj trimis. Trebuie să confirmați profilul pentru a continua să îl utilizați GRATUIT! Activați profilul dvs. aici http://whatapp.us/Activati/Romania/”
După cum se observă, textul este în limba Română și conține diacritice, ceea ce înseamnă că această campanie a fost adaptată astfel încât să atragă utilizatorii din România. Cu toate acestea, există destule elemente care ar trebui să-i ajute pe utilizatori să-și dea seama că mesajul reprezintă o păcăleală și nu ar trebui să acceseze URL-ul indicat, precum:
În cazul în care se accesează URL-ul de mai sus, utilizatorul este redirecționat către o altă pagină web ce conține un mesaj similar, noul URL conținând un atribut denumit „voluumdata” a cărui valoare este un șir de caractere de tip Base64 de forma (variază în funcție de dispozitiv și browser):
jNlODAwLTMwMjEtMTFlNy04OTk3LWIwNWU3YTI0ZWJhNF9fY2FpZC4uNDE5NmJmM2EtZWYxMi00YTdjLTlmZWUtMTR
kMDM3YTdjOTU5X19ydC4uSF9fbGlkLi45NWFhZjgyZC04MzcwLTQ5MDMtODIyMS05YmNhYjY1YTRjMjBfX29pZDEuLj
IyYjE1OTgzLTM0ZjYtNDQ1Yy05YTQ3LTMwZjE1NzE4YmYyOV9fcmQuLndoYXRhcHBcLlx1c19fYWlkLi5fX2FiLi5fX3NpZC
4uX19jcmkuLl9fcHViLi5fX2RpZC4uX19kaXQuLl9fcGlkLi5fX2l0Li5fX3Z0Li4xNDkzODMzMTU0MzMx
Prin decodarea porțiunii de text Base64 se observă că de fapt este vorba despre un șir de parametri cu anumite valori, care cel mai probabil reprezintă o serie de date de identificare aferente campaniei (ID campanie) și despre potențialele victime (ID victimă, dispozitiv, browser etc.):
vid..00000003-8d30-4688-8000-000000000000__vpid..f163e800-3021-11e7-8499-f34f28aad6a1__caid..4196bf3a-ef12-4a7c-9fee-14d037a7c959__rt..HJ__lid..95aaf82d-8370-4903-8221-9bcab65a4c20__oid1..22b15983-34f6-445c-9a47-30f15718bf29__rd..__aid..__ab..__sid..__cri..__pub..__did..__dit..__pid..__it..__vt..1493832261001
În continuare, accesarea butonului „Începeți verificarea” conduce la o nouă pagină web cu instrucțiuni, având URL-ul http://whatapp.us/Activati/ro/ro2.html.
După cum se observă și în imaginea precedentă, în această pagină utilizatorul este îndemnat să urmeze un set de instrucțiuni ce implică accesarea următoarelor două butoane:
Exemple de campanii către care sunt direcționați utilizatorii se regăsesc în imaginile de mai jos:
CERT-RO vă recomandă să: