Facebook: De “look,its you…” worm in de Messenger

Alweer proberen plichters Facebookaccounts te kraken

Daarvoor gebruiken ze, zoals zo vaak, dubieuze Facebookberichten, die de schijn wekken dat het om een YouTube-video van de ontvanger op Facebook zou gaan!

Alweer proberen plichters Facebookaccounts te kraken

Daarvoor gebruiken ze, zoals zo vaak, dubieuze Facebookberichten, die de schijn wekken dat het om een YouTube-video van de ontvanger op Facebook zou gaan!

Alweer proberen plichters Facebookaccounts te kraken

Daarvoor gebruiken ze, zoals zo vaak, dubieuze Facebookberichten, die de schijn wekken dat het om een YouTube-video van de ontvanger op Facebook zou gaan!

Waarom gaat het, in detail?

Alweer gaat er een golf van dubieuze “YouTube-links” rond, die via de Facebook berichtenfunctie verspreid wordt. Het gaat hier om een val en om een moeras van agressieve spam-reclame. Maar laten we bij het begin beginnen, van de in een cirkel lopende methode: Alles begint met een privébericht van een bevriend Facebookaccount:

Screenshot: Zulke berichten worden momenteel via de Messenger verstuurd.

De link in dit privébericht leidt naar een Facebook-PAGINA. Die site vormt nog geen gevaar voor de bezoeker. Het gaat technisch gezien om een Facebookpagina, die slechts een beetje irritant is en misbruik maakt van het logo van YouTube.

Maar wat hier gebeurt, is echt tricky: De statussen verwijzen (grafisch ondersteund met vinger-icoontjes) naar een reactie, in de reactiekolommen.

Screenshot: Klik je in de messenger op de link, dan komt je op deze Facebookpagina terecht.

Deze reactie, die door een beheerder is gemaakt, bevat een shortlink. Dat is overigens zeer clever bedacht en heeft een bepaald doel: De statussen, die slechts een klein onderdeel in het hele verloop zijn, kunnen niet door Facebook verwijderd worden. Er staat niets in de tekst, dat op een of andere manier te rapporteren is.

Wat hier wel te rapporteren is of door Facebook te onderdrukken zou zijn, is de reactie met de shortlink. Daardoor blijft de status echter onaangeraakt en blijft bestaan. De paginabeheerder hoeft alleen maar een nieuwe shortlink als reactie neer te zetten en alles blijft zoals het was. Hier voor Facebook verschrikkelijk misleid!

De link!

De link wederom ergert net zoveel gebruikers en alle gebruikers die op hun pc of notebook zitten, kunnen zich afvragen wat dat moet. PC- en notebookgebruikers komen aan het eind met een klik op de shortlink in de reacties alleen maar op de startpagina van YouTube terecht.

Daarbij ligt de nadruk op het begrip “aan het einde”, want als eerste en nauwelijks merkbaar leidt de shortlink je naar een omleiding, waar iets in zit: Deze omleiding sorteert en maakt onderscheid tussen desktopgebruikers (omleiding naar YouTube) en mobiele gebruikers. Wie met de smartphone (of andere mobiele devices) onderweg is, komt in een moeras vol vallen terecht. Eerst zie je een website met een reusachtige “Play”-button:

Screenshot: Volg je de link op de Facebookpagina, dan wordt je naar deze website geleid.

Klik je deze aan, dan kom je op een site terecht, die de schijn wekt, dat het om een Facebook inlogpagina gaat. Maar dat is niet zo:

Screenshot: Aan het einde kom je op een nagemaakte Facebook inlogpagina terecht. Geef je hier je gegevens in, dan komen die in de handen van de oplichters terecht en het betreffende account zou hier overgenomen kunnen worden.

Ook onze webbrowser waarschuwt ons er al voor, dat je hier geen aanmeldgegevens in moet geven:

Screenshot: De webbrowser waarschuwt voor het ingeven van toegangsgegeven.

Voorzichtig, dat is niet Facebook! Dit is een phishingval.

Wie hier het idee heeft, dat hij zijn gegevens in moet vullen, speelt zijn toegangsgegevens in de handen van deze oplichters, die verantwoordelijk zijn voor deze YouTube-methode. Zij hebben dan toegang tot het Facebookaccount, waar ze ook binnen enkele minuten misbruik van maken!

Naast deze phishingsite verschijnt aansluitend nog een hoop aan spam-reclame op het display, die divers is: Naast klassieke affiliate-kansspelen zijn er ook omleidingen naar abonnementendiensten. We hebben hier dus met een goed doordachte mix van rip-off methoden te maken.

Het verloopt bijna hetzelfde bij die personen, die in de phishingval getrapt zijn (ja, wij dappere helden bij Mimikama hebben daar een testprofiel voor opgeofferd). Geef je op de nagemaakte Facebook inlogpagina je gegeven in (maakt niet uit of ze echt of verzonnen zijn), dan kom je op een videoportaal terecht, waarbij je je moet inloggen of registeren.

Ook hier gaat het om een affiliate, want de link daarheen bevat een ID. Meldt zich nu iemand via deze link met de ID daar aan, dan krijgt de persoon, die deze complexe oplichtingsverloop gemaakt heeft, een provisie.

Wie nu gelooft, dat dit hele gedoe nu al klaar is, vergist zich vreselijk. Binnen korte tijd hadden derden toegang tot ons testprofiel. Helaas werd deze toegang direct door Facebook opgemerkt, zodat het account werd geblokkeerd. Wij gaan er vanuit, dat de cirkel zich hier gesloten had en dat er privéberichten vanaf dit account door de oplichters aan anderen gestuurd zijn. Oftewel: Ons testprofiel heeft nu waarschijnlijk zelf de dubieuze You-Tube link verstuurd.

We vatten samen

Hier is echt wat aan de hand! We hebben hier met misleiding op meerdere vlakken en met meerdere doelen te maken. Facebookgebruikers worden met behulp van vermeende YouTube-video’s gelokt en via een shortlink met omleiding in een val gelokt. Primair doel: Smartphonegebruikers! Die komen in een phishingval terecht, alsook in een moeras aan affiliate-reclame. Hier verdient iemand veel geld met een combinatie van meerdere affiliate-links.

Vertaling: Petra, mimikama.nl