בימים האחרונים קיבלנו דיווחים על משתמשי פייסבוק שקיבלו הודעה במסנג'ר שגרמה להם להוריד נוזקה המאפשרת גניבת של פרטים רגישים מהקורבן ו/או שתלה כורה מטבעות וירטואליים על המחשבים. אני רוצה להודות לשותף שלנו ארז להב, שלראשונה הפנה את תשומת ליבי לתופעה.
איך זה עובד?
הקורבן מקבל הודעה תמימה מחבר בפייסבוק מסנג'ר עם קישור לסרטון יוטיוב, כאשר בקישור שנשלח מופיע מה שנראה כסרטון בו מככב הנמען, והתמונה היא תמונת הפרופיל שלו בפייסבוק. לחיצה לפתיחת הסרטון מובילה לאתר מזויף שנראה כמו העמוד הרשמי של יוטיוב. על מנת לצפות בסרטון מתבקש הקורבן להוריד ולהתקין תוסף לדפדפן כרום שמגיע מחנות האפליקציות הרשמית של גוגל, דבר שיוריד את החשדות של מרבית הגולשים.
ההודעה בפייסבוק מסנג'ר – סרטון יוטיוב של הקורבן
עמוד היוטיוב המתחזה המבקש להוריד את התוסף כדי לצפות בסרטון
לאחר הורדת התוסף התוקפים בוחרים איזו נוזקה להשתיל בין אם רוגלה המאפשרת לתוקפים לדלות פרטים רגישים כמו פרטי כניסה לחשבונות רשתות חברתיות, פרטי כרטיס אשראי ופרטי חשבונות בנק, ובין אם להתקין כורה ביטקוין (bitcoin miner) המנצל את משאבי המחשב כדי לכרות מטבעות וירטואליים ויכול להתבטא בהאטה משמעותית של המחשב.
הנוזקה ממשיכה להפיץ את עצמה ושולחת בשם הקורבן שנפגע הודעות במסנג'ר לכל חבריו בפייסבוק, כך התוקפים מגדילים את כמות הקורבנות אותם הם יכולים לנצל.
הנוזקה פועלת גם על סמארטפונים, אם כי באופן שונה. כאשר תפתחו את סרטון היוטיוב שנשלח במסנג'ר דרך הסמארטפון במקום שתתבקשו להתקין תוסף, תוצפו בהתראות כי אתם חייבים להתקין אפליקציה ל"ניקוי" הטלפון בשם "Fast Cleaner", בפועל האפליקציה ממש לא תנקה לכם את המכשיר אלא רק תציף אתכם בפרסומות מעיקות.
התהליך שמתבצע במידה ופתחתם את הסרטון בסמארטפון
איך מתגוננים?
גם כשאנחנו מקבלים הודעות מחברים באפליקציות מסרים, הן יכולות במקרים רבים להוביל אותנו להונאה או לנוזקה שתגנוב מאיתנו פרטים או תדביק את המחשב שלנו. חשוב תמיד לבדוק לאן מובילים לינקים שנשלחים אלינו. במקרה הנ"ל הלינק מוביל לאתר שנראה כמו יוטיוב, כאשר הכתובת של האתר מראה video-guyd.blogspot.com במקום youtube.com. חשוב גם להתריע בפני חברים ששולחים הודעות כאלה, כי יכול מאוד להיות שהפרופיל שלהם נחטף או שהמחשב שלהם נגוע בנוזקה.
מה ניתן לעשות אם כבר הורדתי את התוסף?
אם כבר התקנתם את התוסף חשוב להסיר אותו מידית מהדפדפן כרום.
התוסף הנ"ל לא יאפשר לכם להיכנס לניהול התוספים של כרום עד שתאפסו את ההגדרות של הדפדפן. לכן קודם כל יש לבצע איפוס לדפדפן דרך ההגדרות המתקדמות של כרום:
לאחר מכן יהיה ניתן להסיר את התוסף מתוך ניהול התוספים. כדי לעשות זאת, ניתן לפתוח חלון חדש ולהקליד בשורת הכתובת של כרום את הפקודה:
chrome://extensions
בתפריט זה ניתן יהיה למצוא את התוסף הזדוני ולהסיר אותו.
כדי להיות בטוחים שהמחשב שלכם לא הותקף ע"י נוזקה כמו כופר או סוס טרויאני שגונב פרטי אשראי, חשוב גם לסרוק את המחשב באמצעות מוצר אבטחה שאתם סומכים עליו. עבור גולשים שלא מותקן להם פתרון אבטחה של ESET ניתן להשתמש בכלי החינמי ESET Online Scanner שעובד ישירות מהדפדפן ויזהה את הנוזקה.
כיצד מסירים את האפליקציה מהסמארטפון?
בדרך כלל אפליקציות זדוניות במובייל ניתנות להסרה בקלות, פשוט באמצעות הסרה דרך ניהול האפליקציות במכשיר. עבור אפליקציות עקשניות וכדי להגן על המכשיר, אנו ממליצים להשתמש באפליקציית אבטחה למובייל כדרך בטוחה ופשוטה להסיר את האיומים מהמכשיר.