WhatsApp.com falso inganna gli utenti e installa un adware sul PC

WhatsApp.com falso inganna gli utenti e installa un adware sul PC

Un sito web con un URL reso simile a quello del portale del client di messaggistica più diffuso al mondo ha tentato di diffondere un adware

di pubblicata il , alle 12:01 nel canale Sicurezza
WhatsApp
 

Negli scorsi giorni alcuni utenti sono stati spinti con l'inganno a cliccare sul dominio шһатѕарр.com che, mascherandosi da sito ufficiale della popolare piattaforma di messaggistica, installava un adware sul PC del malcapitato che lo visitava. Se ad una prima rapida occhiata l'URL è simile a quello del portale ufficiale, basta osservarlo in maniera meno superficiale per accorgersi che il WhatsApp.com fake utilizza caratteri dell'alfabeto cirillico.

Ad avvistare il sito web fraudolento è stato originariamente l'utente Reddit yuexist: il portale fake spingeva all'installazione di un'estensione che prometteva nuovi colori per la finestra di WhatsApp Web. Visitando la pagina si invitava l'utente a condividere il tutto con amici e conoscenti a scopo di "verifica", inviando loro però un messaggio di spam sullo stile "amo i nuovi colori per WhatsApp" in lingua inglese. Il tutto naturalmente corredato con l'URL fake.

BlackWhats

Completate le procedure veniva installata un'estensione da Chrome Web Store chiamata BlackWhats, contenente una serie di fastidiosi adware. Al momento in cui scriviamo l'estensione non è più accessibile tuttavia, prima di essere stata rimossa da Google sullo store ufficiale del browser, ha mietuto circa 16 mila utenti. Nella pagina dedicata dell'estensione c'erano inoltre 3 recensioni testuali e un punteggio di 4 stelline ottenuto attraverso 55 valutazioni.

Le procedure utilizzate per installare l'adware sono ben note a chi utilizza senza troppa timidezza il web quotidianamente, tuttavia non tutti hanno una preparazione tale da sapersi difendere da certe meccaniche. In questo caso sarebbe stato sufficiente osservare con attenzione l'URL contraffatto, o semplicemente non fidarsi del suggerimento (non richiesto) relativo all'installazione dell'estensione. Inoltre, molte grandi compagnie sono ormai passate al protocollo HTTPS, caratteristica ormai da controllare per verificare l'attendibilità di un sito web appartenente ad una grossa realtà.

Nonostante ciò ormai è calata l'ascia di Google sull'estensione fraudolenta, e gli utenti sono adesso del tutto al sicuro da questa nuova minaccia online.

I migliori sconti su Amazon oggi

TCL 55V6C TV 55'' 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

298.99 Compra ora

origimagic C4 Mini PC,con Ryzen 5 3550H Processor(fino a 3,7GHz) Light Gaming PC,16GB RAM,512GB SSD,Supporto Triple Display,USB3.2/Doppia Ethernet/Wi-Fi5/BT 5.0,Mini Desktop per Ufficio Domestico

229.00 Compra ora
-32%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 64.99 Compra ora
11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ancesurfer17 Maggio 2017, 13:11 #1
Il problema risiede tra la tastiera e la sedia....
zappy17 Maggio 2017, 13:47 #2
molte grandi compagnie sono ormai passate al protocollo HTTPS, caratteristica ormai da controllare per verificare l'attendibilità di un sito web...


HTTP://www.hwupgrade.it/...

autogol?
megthebest17 Maggio 2017, 16:08 #3
Originariamente inviato da: zappy
HTTP://www.hwupgrade.it/...

autogol?


Sandro kensan17 Maggio 2017, 17:15 #4
Quindi mi pare di capire che è la stessa cosa di apple.com? Allora alcuni dicevano che Chrome era al sicuro e adesso si dice che non è così per WhatsApp.com fake che utilizza caratteri dell'alfabeto cirillico.

Forse semplicemente Chrome utilizza una black list che in questo caso non è aggiornata?
Mi pare sia così ovvero la falla di usare solo l'alfabeto cirillico usata in apple.com funziona benissimo con:

fake website : http://шһ&#...88;.com/?colors

Secondo me questo dimostra che Chrome è sicuro come firefox, a suo tempo la gente diceva il contrario.

Cliccando nel link qui sopra firefox mi dice:

Deceptive Site!

This web page at шһатѕарр.com has been reported as a deceptive site and has been blocked based on your security preferences.

Deceptive sites are designed to trick you into doing something dangerous, like installing software, or revealing your personal information, like passwords, phone numbers or credit cards.

Entering any information on this web page may result in identity theft or other fraud.


Quindi, ergo, il sito è messo in black list pure da firefox ma questo non risolve il problema alla radice di un sito che è tutto in caratteri cirillici. Questo perché nel caso di sito "nuovo" firefox & Chrome (entrambi secondo me) il fake site in cirillico non è semplicemente in back listi in nessuno dei due browser. Quando si accorgono che quel sito è pericoloso lo inseriscono.
fano17 Maggio 2017, 17:42 #5
D'altra parte non è che si può nemmeno bannare il cirillico come alfabeto... se no le nostre amiche russe come fanno? Devono usare l'alfabeto latino / romano? Quelli giustamente s'incazzeno

Forse può essere impedito di registrare siti con traslitterazioni in altri alfabeti di siti già esistenti? Non saprei neanche se si possa fare un'algoritmo che riconosca che 'w' e 'ш' sono la stessa lettera (ma la sono? Come suona 'ш' in Russo?)...
zappy17 Maggio 2017, 22:56 #6
Originariamente inviato da: fano
D'altra parte non è che si può nemmeno bannare il cirillico come alfabeto... se no le nostre amiche russe come fanno? Devono usare l'alfabeto latino / romano? Quelli giustamente s'incazzeno

Forse può essere impedito di registrare siti con traslitterazioni in altri alfabeti di siti già esistenti? Non saprei neanche se si possa fare un'algoritmo che riconosca che 'w' e 'ш' sono la stessa lettera (ma la sono? Come suona 'ш' in Russo?)...

boh, non dovrebbe essere complicato far si che il browser ti avverta se l'url è composto da lettere di alfabeti diversi...
perchè è quello l'inghippo, non l'uso del cirillico.
rockroll18 Maggio 2017, 03:13 #7
Originariamente inviato da: ancesurfer
Il problema risiede tra la tastiera e la sedia....


Già sentita questa frase, ma tiri la prima pietra chi non sbaglia mai.

Errare umanum est, ma qui si tratta solo di praticaccia, per cui si acquisiscono le giuste abitudini non certo di primo acchito; ma qualcuno permetti che dia pure qualche capocciata prima di impratichirsi. Apostrofare con questa solita frase chi subisce il danno è antipatico come rubare le caramelle ai bambini.

Continuo a pensare che l'informatica non è proprio per tutti, ed averla voluta volgarizzare e banalizzare a livello di applicazioni per cani ed altri animali meno nobili porta a queste conseguenze.
shoxblackify18 Maggio 2017, 03:18 #8
quanti polli che ci sono
rockroll18 Maggio 2017, 03:54 #9
Originariamente inviato da: shoxblackify
quanti polli che ci sono


Tutti lo siamo stati all'inizio, o tu avevi la conoscenza (praticaccia) infusa?
fano18 Maggio 2017, 10:07 #10
Anche se questo sito usa la pubblicità per vivere e quindi è brutto dirlo, ma già AdBlock è di grande aiuto avete mai provato ad usare 4Shared o qualche sito di torrent senza AdBlock? Non potete neanche immaginare quanti "Download" appaiono, ma solo uno è quello vero... devo dire che quando mi è capitato era un po' confuso anche io su quale tasto pigiare

Comunque il problema resta di difficile soluzione:

1. è l'utente che ha cliccato sul link con caratteri "strani"
2. è sempre l'utente che nel sito sospetto ha schissato "download"
3. è sempre l'utente che dopo aver scaricato pattume lo ha pure eseguito!

Come si dovrebbe protteggere automaticamente l'utente da questo? Firefox / Chrome non possono mettere di certo in black list tutti i siti che usano caratteri cirillici!

Forse il SO dovrebbe essere più furbo e NON permettere a qualsiasi software di scrivere porcate sul registro e no chiedere di elevare i processi con UAC / sudo non è la soluzione... se poi finisco per non poter nemmeno poter stampare lo disabilito o metto sempre la password senza leggere!

La via giusta è probabilmente come è fatto su Macos e Windows 10 mobile in cui alle applicazioni non è permesso "sporcare" in giro sono - di fatto - sandoboxed di default, ma come visto con Windows 10 mobile questo agli sviluppatori non piace
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^