Bízz embertársaidban, de emeld meg a kártyapaklit!

2021. szeptember 28. 11:04 - Csizmazia Darab István [Rambo]

Néhány órával a telepítés és a bővítménybe való bejelentkezés után azt láttam, hogy a pénztárca egyenlegem 0 dollárra csökkent - panaszolta egy érintett felhasználó, aki a rosszindulatú Firefox bővítményt futtatta. Hát ebből már jól látszik, hogy ez sajnos nem egy sikertörténet lesz.

Beszámolók szerint a "Safepal Wallet" elnevezésű rosszindulatú Firefox-bővítmény átverte a felhasználókat, és kiürítette pénztárcájukat. Hét hónapig viszont zavartalanul volt letölthető a Mozilla bővítmény kínálatban. A Safepal egy kriptovaluta pénztárca alkalmazás, amely rengeteg különböző fajtájú virtuális fizetőeszköz biztonságos kezelését ígérte, többek közt a Bitcoint, az Ethereumot és a Litecoint.

A BleepingComputer észrevétele szerint a lelepleződés után a rosszindulatú böngészőbővítményt levették ugyan, de az adathalászatot kiszolgáló kártékony weboldal változatlanul működik még. A mi mai posztunk írásakor azonban a safeuslife.com oldalt már azóta szerencsére lelőtték.

A kiegészítő állítólag 2021. február 16. óta volt elérhető. Egy pórul járt felhasználó bejelentése után biztonsági felülvizsgálatot ígértek, majd 5 nap múlva kivették a letölthető bővítmények közül. A károsult a rendőrséghez is fordult, ám ők azt mondták, nem tehetnek semmit. Mivel a Safepal máig jelen van mind az Apple Store, mind pedig a Google Play hivatalos webáruházban, és az ottani felhasználói értékelések szerint megbízhatóan végzi a dolgát.

Így az tűnik a legvalószínűbb forgatókönyvnek, hogy a Mozilla kiegészítő készítői egész egyszerűen ellopták a Safepal nevet, a logót és a leírást, majd a cég nevében egy hamis, kártékony kiegészítőt fejlesztettek és nyújtottak be. A céljuk nyilvánvalóan a megbízható név mögé bújva a gyanútlan áldozatok megkárosítása volt, az ellopott helyreállítási kulcsok segítségével.

Ha van tanulság, akkor az egyrészt az, hogy a pénzünket nem szabad akárkire, akármilyen ellenőrizetlen alkalmazásra rábízni. Másrészt amint azt egy korábbi, androidos appok területén tapasztalható kaotikus állapotokkal kapcsolatos posztunkban írtuk: nagyon kell figyelni a gyanús alkalmazásokra.

A Google Play esetén például rengeteg esetben található volt teljesen azonos néven rengeteg népszerű játék, divatos alkalmazás, ahol könnyű volt eltéveszteni, melyik az igazi, melyik a csaló. Vagyis arra is mindig kiemelten kell figyelni, melyik az eredeti app, ellenőrizni, ki a fejlesztő, és megnézni az értékeléseket.

Időközben a Mozilla frissítette a bővítményekkel kapcsolatos közleményét, amelyben kiemelten felhívja a felhasználók figyelmét ezekre az értékelésekre, a fejlesztő webhelyének ellenőrzésére.

Remélhetőleg emellett a saját maga figyelmét is felhívja, hogy fogadjon be és tegyen fel a kínálatba nem megfelelő bővítményeket. Hát reménykedjünk ebben, azt végül is szabad ;-)

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr316702576

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Le a spammerekkel · http://ketkerekenoutival.blog.hu/ 2021.09.29. 13:57:12

Ha már hamisítás...
A netpincérről rendeltem volna, de nem tudom a jelszavam.
Kértem újat, a kapott link a ablink.info.netpincer.hu oldalra vitt, ott viszont a browser hisztizni kezdett, hogy nem biztonságos a kapcsolat, mert a szerver tanúsítványa a sendgrid.net domainhez tartozik.
Hm. Ilyenkor mi a teendő? A sendgrid.net számomra ismeretlen.

Omnilox 2021.09.29. 16:28:07

@Le a spammerekkel: Harmadrendű aldomain, ez elég ritka. Gyanakodva kezelném, mert ilyen aldomaint a DNS szerverekre bejutva is lehet regisztrálni, eltérítve a felhasználót egy tetszés szerinti oldalra. Lehetetlennek tűnhet, de már nem az, sajnos. A sendgrid.net egyébként kétesélyes, mert a Google és a Yandex szerint e-mail küldő oldal, lehet valóban kapcsolatban a netpincér jelszómegújító funkciójával, nem szükségképpen reklámoldal. A Firefox NoScript bővítménye fedezékében megpróbáltam megnézni a linket, de csak ennyi nem elég, ennek a végén nincs weboldal. A Google erre a címre ételfutárok reklámjait dobta fel, ezért szerintem el lehet fogadni a tanúsítványt.
süti beállítások módosítása