Prije svega dva dana, Facebook poruke su postale preplavljene
neobičnim sadržajem, ‘slikovnom’ datotekom formata .svg, koja nije
sadržavala nikakvu sliku. Korisnici su taj sadržaj slali bez svog znanja
– i postalo je očito da je riječ o malicioznom kodu (Nemucod
downloader), koji je uspješno zaobišao Facebookove filtere.
Spomenute .svg datoteke nisu sadržavale sliku, već Java (a što
drugo…) skriptu koja preusmjerava korisnike na lažnu YouTube stranicu,
koja pak traži instalaciju posebnog dodatka za preglednik kako bi se
‘mogao vidjeti sadržaj’. Naravno, daj dodatak zapravo služi za
dostavljanje dodatnog malicioznog koda na računalo korisnika.
Neki sigurnosni stručnjaci navode kako je taj drugi dio koda poslužio i za preuzimanje Locky ransomwarea,
no prema drugim stručnjacima stvar nije potpuno potvrđena – iako je
jasno da se u ovom stupnju zaraze računala stvari mogu iskoristiti za
mnogo toga. Uistinu, naknadno je otkriveno kako pored Lockyja korisnici
dobivaju niz različitih payloada. Jasno – svi su malicioznog karaktera i služe tek kako bi cyber kriminalci terorizirali naivne korisnike i pri tom zaradili.
Stručnjaci su odmah kontaktirali Facebook i Google (koji je služio za
preuzimanje dodatka za preglednik) kako bi pokušali zaustaviti ovu
napast koja je zaobišla i Facebookove agresivne filtere. Kompanija Marka
Zuckerberga izjavila je tek kako neke od Nemucod infekcija nisu
poslužile za instalaciju ransomware koda kako se inicijalno tvrdilo te
da u Facebooku aktivno rade na nizu sustava koji će onemogućiti dalje
širenje malicioznog koda. Štoviše, zaraženi računi će dobiti blokadu i
poruku od Facebooka da očiste računalo preporučenim antivirusnim
programom kako bi nastavili dalje.
Neki stručnjaci upozoravaju da je, s obzirom na činjenicu da je
infekcija mogla slati poruke bez znanja korisnika, pametno promijeniti
lozinku na Facebooku nakon čišćenja računala od zaraze. Među privremenim
koracima za blokiranje širenja ovakvog materijala valja onemogućiti
JavaScript u preglednicima, omogućiti click-to-play, blokirati Wscript i
sl. radnje. Jasno, prije svega bi inficirana računala trebala i
ukloniti maliciozni dodatak u pregledniku.
Kao i uvijek do sada, korisnici se trebaju voditi nekim osnovnim
radnjama za zaštitu svojih računa i računala općenito od malicioznog
koda:
1. Ne klikati i ne preuzimati bilo kakav (neprovjeren) sadržaj. U ovom primjeru s Facebookom, društvena mreža u pravilu prikazuje pregled (thumbnail)
slikovnog materijala – sve ostalo klikanjem povećava rizik, usprkos
filtrima koje ovaj servis ima postavljen. Posebno valja biti sumnjičav
prema porukama koje zapravo ne sadrže ništa drugo osim nekakve dodane
datoteke.
2. U slučaju da vas neka stranica ili servis traži unos podataka, ali na bilo koji način izgleda sumnjivo, stvar treba ignorirati. Phishing
pokušaji su sve bolje izvedeni, a stranice preko kojih se nastoji
prevariti korisnike izgledaju sve sličnije stvarnima. U kućici u koju se
upisuje internetska adresa valja dobro provjeriti URL – ako tu stoji
faceb00k (ili neka druga varijacija) umjesto facebook, nikako ne treba
unositi svoje podatke.
3. Kako bi stvari ipak bile dodatno osigurane – valja koristiti dvostupanjsku ovjeru računa.
Njena aktivacija ovisi o servisu, a Facebook omogućuje izvrsnu zaštitu
preko više email adresa korisnika, aplikacije i mobilnog telefona. Na
taj način sve i da netko pokuša ‘upasti’ na račun, trebat će i potvrdni
kod iz aplikacije ili SMS poruke.
U trenutku pisanja ovog teksta, Facebook još uvijek nije uklonio
.svg datoteke koje je autor dobio od drugih korisnika te društvene
mreže.
