Facebook virus y estafas
¿Que beneficio sacan de ello, si no es hacer daño?
Si nos ponemos a revisar cada uno de ellos nos daremos cuenta que existen diferentes modalidades. -La mas utilizada es para pishing, poder robar cuentas bancarias deja muchos dinero y para poder obtener datos de alguna cuenta hay que buscar entre muchos usuarios.
-La otra similar se trata de una estafa directa, haciendo que el usuario mande dinero.
-Y por ultima la mas benigna es la llevar a usuarios a paginas con publicidades y AdSense, donde ellos están registrados y les pagan por cada usuario que entre.
---------------------------
La revancha del creador faceplus
Tiempo atrás uno de los temas mas
Hace un tiempo empecé a eliminar "paginas de facebook" por la cantidad de publicaciones de videos, y que generaba una especie de spam indirecto ya que la idea de facebook es mostrarte la actualizacion de tus contactos. Pero después empecé a notar publicaciones de "videos" de persona, algunos con mensajes en un español medio centroamericano y se me ocurrió investigar.
Yendo a la pagina en cuestión, que casualidad me faltaba un plugin novedoso de youtube, aunque todos usamos youtube normalmente.
Veamos un poco el código:
1-En primer lugar tenemos que lo que se muestra es un iframe de una pagina llamada "fanvisitas" así que el código del plugin esta ahí.
2-En segundo lugar tenemos un script de adsense google. Está bien, el quiere ganar algo de dinero, después de todo se la pasa compilando vídeos ¿no?
En la pagina del enlace:
¿Porque los plugins de youtube estarían alojados en fanvista? ¿No deberían descargarse directamente desde el servidor de youtube? Algo raro ¿No?. Entonces entremos a la pagina de fanvisitas y veamos que podemos encontrar.
Ajá!, el autor de la pagina anterior es el mismo de FacePlus. Bueno al menos el tubo la consideración de advertírtelo:
---------------------------
Otra cosa, si hacemos un whois al dominio nos saldrá algo así
Domain Name: FANVISITAS.COMAhora si averiguamos dentro del servidor sobre datos de titular de esta pagina
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS5.SAAPY.COM
Name Server: NS6.SAAPY.COM
Status: clientTransferProhibited
Updated Date: 05-dec-2011
Creation Date: 07-nov-2011
Expiration Date: 07-nov-2012
Name: Domain Admin
Company: PrivacyProtect.org
Address: ID#10760, PO Box 16
Note - All Postal Mails Rejected, visit Privacyprotect.org
Eso quiere decir que está protegida. No vaya a ser que alguien quiera tomar represalias. ;)
---------------------------------
Actualizacion (11/12): De la misma forma aunque un poco mas evidente
El código de fuente no lo dejo porque es bastante similar al anterior. Utiliza un fondo falso de facebook, nada mas complejo que eso. El falso plugin se descarga de un servidor vevideo.com.es.
Si queremos entrar a la pagina principal esta nos redirecciona a otra que te pide tu usuario y contraseña de hotmail, es genial! no solo busca transmitir malware y estafar. Sino que también te quiere robar el correo electrónico.
Para ponerle un poco de humor, quieres saber quien es el encargado de esto:
http://www.whois.net/whois/servervideotube.com
Actualizacion (19/12): Veo que siguen apareciendo mas paginas, esta es otra http://vk3.me/es/?3090. Con un aspecto similar a youtube No son mas que imágenes de fondo. En este caso, tanto la pagina como los plugins están alojados en el mismo servidor.
Saludos y tengan cuidado con lo que instalan.
Esee viruus mee tiene las *** llenaaaaaaas!!
ResponderEliminarHaay que denunciar sus cuentas, o en google! para prevenir a mas gente
Se puede denuncia como malware, pero las leyes de spam y otras no se aplican debido a que en la pagina presenta los terminos y condiciones.
ResponderEliminarAl instalarlo uno está aceptando esas condiciones.
Saludos!
a mi se me autoredirecciona como lo saco ?
ResponderEliminarque tal, la mayoria son plugins que se pueden desintalar faculmente.
ResponderEliminarEn google chrome: entrar a "chrome://settings/extensions" y desintalar el complemento.
En firefox: ir a Herramientas - Complementos y desintalarlo en Extensiones o en plugina.
Saludos