Při analýze zajímavé podvodné kampaně jsem dnes narazil na relativně neobvyklý web. Většina tradičních podvodných stránek spoléhá na nabídky extrémně výhodné koupě zboží nebo služeb a pokouší se cílového uživatele přimět zadat údaje o platební kartě. Co ovšem daný uživatel netuší je, že se (v nejlepším případě) současně přihlašuje také k odběru mnohem dražších služeb a že platby za ně budou následně periodicky strhávány z jeho účtu.

I v této kampani odpovídá většina stránek výše popsanému typu (o tom a dalších detailech se budete moci dočíst na stránkách Internet Storm Center příští úterý), jedna z nich však byla citelně odlišná. Její autoři si totiž vypůjčili vzhled ze stránek ČT24 a pokoušeli se přimět návštěvníky k registraci u nejmenované služby pro obchod s kryptoměnami s pomocí oficiálně vyhlížející zprávy s titulkem „SPECIÁLNÍ ZPRÁVA: Poslední investice Andreje Babiše odborníky doslova překvapila a vyděsila banky“.

V textu je, mimo jiné, uvedena část (pochopitelně smyšleného) rozhovoru mezi Andrejem Babišem a reportérem České televize Danielem Takáčem, v rámci kterého je čtenářům představena nová kryptoměnová platforma, u níž je „prokázané, že z kohokoliv udělá za 3 až 4 měsíce milionáře“.

Přestože text obsahuje drobné gramatické chyby, může na první pohled působit relativně důvěryhodným dojmem. Andrej Babiš není navíc jediným, kdo je v textu zmíněn jako velký propagátor zmiňované platformy – do stejné skupiny mají údajně patřit i Bill Gates a Richard Branson.

Celý dojem pak dokreslují údajné příběhy lidí, kteří s pomocí platformy již dokázali zbohatnout (viz první dva obrázky, pravá strana). Celá stránka má pochopitelně uživatele přimět přihlásit se k téže platformě a převést do ní určitý vstupní kapitál. Aby měl uživatel práci co nejjednodušší, je na konci textu uveden i návod, jak s platformou začít.

Aby uživatel investici neodkládal je na samém závěru stránky uveden doplňující text, informující o tom, že pro občany České republiky už je v platformě vyhrazeno pouze malé množství míst a s registrací by tak neměli otálet. Pod tímto textem jsou pak uvedeny smyšlené komentáře dalších již zbohatlých uživatelů, které platformu jednoznačně doporučují.

Pokud byste se na stránku chtěli podívat sami, máte možnost – v době publikace tohoto textu je stále aktivní. Neb jsem však hlouběji nekontroloval její HTML kód, je možné, že se spolu s ní nahrávají i potenciálně nebezpečné skripty, nebo jiný externí obsah. Pokud se jí tedy rozhodnete navštívit, doporučil bych tak učinit z vhodně zabezpečeného (ideálně virtuálního) stroje. Doména, kde můžete na stránku narazit je financialwealthnow.net.

Počítejte s tím, že jméno oné kryptoměnové platformy se může lišit od toho v obrázcích výše – je totiž dáno obsahem parametru pname. Znamená to nejen, že si můžete jméno nastavit dle libosti sami, ale díky absenci filtrace obsahu parametru a kódování znaků na výstupu také to, že stránka obsahuje reflected cross-site scripting zranitelnost.

UPDATE 23. 2. 2020: Kamil Vávra (@vavkamil) mě uporoznil - za což mu tímto děkuji - na nedávno publikovanou analýzu podvodné kampaně realizované skupinou označovanou FizzCore, při níž byly využívány smyšlené rozhovory s celebritami pro propagaci různých falešných služeb a produktů. Na základě dostupných informací se zdá jisté, že výše popsaná stránka je dříve neobjeveným dílem stejné skupiny.