Faktisk.

Tar over Facebook-kontoer for å spre falske bitcoin-nyheter

Falske nyhetsartikler om kjendiser, som har tjent store penger på bitcoin-investeringer, spres nå av intetanende privatpersoner. Facebook-kontoene deres blir overtatt av ondsinnede aktører, som tagger et stort antall venner i innlegg om fantastiske investeringer.

hovedbilde

Faktisk.no har den siste tiden fått en rekke tips om spredning av slike nettsider som utgir seg for å være nyhetsartikler.

Mye tyder på at spredningen skjer ved at privatpersoners Facebook-kontoer tas over – og det uten at de har fått brukernavn og passord på avveie.

For datakode på en spesiell lokkeside lurer brukerne.

– Koden kan i verste fall få tilgang til alle sider du er innlogget på, som for eksempel Facebook, forteller Vidar Sandland i Norsk senter for informasjonssikring (NorSIS).

Les mer om hvordan angrepet mot Facebook-kontoene gjøres lenger ned i saken.

NorSIS gir råd om nettsikkerhet og er blant annet med på å drive tjenestene Nettvett.no og Slettmeg.no. Sandland forklarer at denne formen for spredning av slike svindler er litt mer avansert enn man har sett tidligere.

Vi ønsket derfor å gå litt dypere inn i hvordan dette fungerer og hva som ligger bak.

Falsk Dagbladet-artikkel om Stordalen og bitcoin

Facebook-innleggene som brukes til å spre svindelen går til falske nyhetsartikler om noe som omtales som Bitcoin Profit, eller lignende investeringstjenester knyttet til kryptovaluta.

En av artiklene som spres er en falsk «Dagbladet»-artikkel om at Petter Stordalen skal ha tjent store penger på denne nye investeringsmuligheten.

Slik ser den falske artikkelen ut (faksimile: nettside med falsk nyhetsartikkel)

Artikkelen hevder at Stordalen snakket om dette i et intervju på tv-programmet Skavlan i forrige uke. Han skal der ha fortalt om et nytt «smutthull til rikdom» som han «sier kan gjøre hvem som helst til millionær i løpet av et par måneder».

Petter Stordalen var ikke gjest på Skavlan i forrige uke, artikkelen er ikke en Dagbladet-artikkel, men en falsk artikkel. Den falske artikkelen leder til en form for svindel som skal lure deg til å bruke penger på høyst tvilsomme bitcoin-investeringer.

Faktisk.no har flere ganger tidligere skrevet om denne typen bitcoin-svindler, og Skavlan har uttalt at slike falske artikler er svindel og misbruk av navnet hans.

Til TV 2, som produserer Skavlan, har Petter Stordalen også uttrykt stor frustrasjon over å bli brukt som lokkemiddel i de falske nyhetsartiklene.

– Jeg handler ikke i kryptovaluta. Jeg anbefaler ikke bitcoin. Dette er ren, skjær svindel, har Stordalen uttalt til TV 2.

Tydelig falsk

At Dagbladet-artikkelen er falsk er ikke så vanskelig å avsløre.

For det første ser ikke artikkelen ut som dagens design for artikler fra Dagbladet. Artikkelen ligger også på adresser som ikke er tilknyttet Dagbladet.

Domenene artiklene lå på var alle sammen nylig opprettet. Eierne skjulte seg bak anonymiseringstjenester. Det virket også som domenene var til dels automatisk generert, med navn på formen fintechnow(rekke med tilfeldige tall og bokstaver).buzz.

Ved siden av historien om Petter Stordalen ligger også små notiser om andre «personer» som skal ha gode erfaringer med denne formen for investeringer i kryptovaluta.

Faktisk.no har tidligere vist at bildene av disse «personene» går igjen og ikke er av verken Jakob eller Liam. Det er bilder av en fotomodell og en minecraft-skaper.

Ny form for spredning

Tidligere har denne typen falske nyhetsartikler om kjendiser som har funnet nye og lukrative måter å investere i kryptovaluta på, blant annet skjedd ved hjelp av annonser inne på Facebook og annonser hos ulike andre nettsteder gjennom annonsebørser.

Det som er nytt med den siste tids spredning er at Facebook-kontoene til vanlige folk plutselig publiserer innlegg med lenker til svindelen – og tagger et stort antall av sine venner.

Slik deles svindelartiklene med tagging av en rekke venner

Hvordan ender de som står bak de falske artiklene med å kunne publisere fra andres Facebook-konto og målrettet spre svindelen til et stort antall personer i offerets omgangskrets?

Faktisk.no har vært i kontakt med flere personer som har opplevd at Facebook-profilen deres har blitt misbrukt til å spre slike artikler.

Ofte vet de som har spredt slike innlegg det ikke selv med én gang. Flere forteller at de første gang fikk vite om hva som skjedde ved at venner varslet dem om at de postet rare ting på Facebook.

Andre igjen får varsel fra Facebook om at tjenesten tror kontoen kan ha blitt hacket. Dette henger ofte sammen med at andre brukere på Facebook rapporterer de mistenkelige innleggene.

Faktisk.no har vært i kontakt med flere av ofrene som har opplevd å stå som avsender av svindel-lenkene med sin profil.

Fra disse får vi vite at et innlegg med noe som beskrives som en «tvilsom lenke» var kan være årsaken til at profilen plutselig begynte å spre falske artikler. Lenken gikk til en side som handlet om nye muligheter på Facebook for å se aktiviteten inne på din profil fra andre.

Datahjelperne: Se hvem som har besøkt profilen din

Når vi spør andre ofre om de kan huske lignende svarer en av dem dette:

– Det var den jeg så og. Trykket litt uten å tenke meg om da jeg var på jobb, sier Marte Nilsen til Faktisk.no.

Hun er en av de vanlige privatpersonene som plutselig hadde spredt falske nyhetsartikler om bitcoin uten å selve vite det.

Informasjonen om at angriperne lokket med mer info om aktivitet hos seg selv om andre på Facebook, ga nye spor å lete etter.

Dette sporet ledet oss til omtale av denne formen for svindel-spredning på nettstedet datahjelperne.no, et nettsted som er drevet for å dele informasjon om sikkerhet på nett, PC og mobil.

Datahjelperne har klart å følge lenkene ofrene har klikket på, og tatt skjermdumper av lokkepostene på Facebok, samt siden de med ondsinnede hensikter hadde satt opp for å angripe Facebook-kontoer.

Innlegget spiller på ofrenes nysgjerrighet

Lokkeposten spiller veldig tydelig på den enkeltes nysgjerrighet.

Da seniorrådgiver Vidar Sandland i NorSIS får høre og se dette kjenner han metodikken igjen.

– Alle svindler baserer seg på fristelser, frykt og tillit. Folke må være ekstra varsomme når det blir spilt på disse strengene, sier Sandland.

Har forklarer at alle mennesker har en tendens til å gå litt lenger når disse emosjonelle strengene spilles på.

Trenger ikke oppgi brukernavn og passord

Mange kjenner det kanskje igjen fra de kjente Microsoft-svindlene som spiller på frykt om at «din datamaskin er nå infisert, og vi skal hjelpe deg».

En annen avart som tidligere har spredt seg i sosiale medier, har vært av typen «se den oppsiktsvekkende videoen som nå sprer seg om deg på internett». En lenke har så lurt deg til å dele passord og brukernavn.

Denne siste svindelen virker å være enda mer utspekulert.

Mye tyder på at dette angrepet ikke krever at du oppgir brukernavn og passord på en falsk side.

Alt som skal til er at du klikker på noen bokser i nettleseren.

Datahjelperne klarte å laste ned siden brukerne kommer til om de lar seg friste av lovnaden om å få se hvem som har besøkt Facebook-profilen.

Siden kan da se slik ut:

Denne instruksjonen lurer brukerne til å dra et element fra siden (den grønne boksen) til bokmerkefeltet.

Om brukeren gjør dette lagres en bit datakode (et javascript) som bokmerke.

Utnytter bokmerker

Dermed kan de ondsinnede aktørene klare å kjøre sin skumle kode på andre sider som egentlig har mange sikkerhetsmekanismer påslått.

For slike bokmerker med kode (såkalte «bookmarklets») omgår en del sikkerhetsmekanismer i nettleserne. Dette skyldes at denne funksjonaliteten også brukes til praktiske ting. Som f.eks. å trykke på en knapp i bokmerkefeltet for å lagre en side til leselisten på en annen nettjeneste, eller lage en ny twitter-melding med lenke til siden man er på.

Likevel er det langt fra ufarlig å kjøre kode man ikke kjenner på nettsider.

– Når man klikker på den bookmarkleten får den alle rettigheter. Koden kan i verste fall få tilgang til alle sider du er innlogget på, som for eksempel Facebook, forteller Vidar Sandland i NorSIS.

Han forklarer at mye tyder på at koden som brukes av ondsinnede aktører tar over innloggingen på Facebook som allerede er aktiv – dermed trenger de egentlig ikke stjele brukernavn og passord.

Undersøkte angrepskoden

Det samme resonnerte flere datautviklere seg fram til i Facebook-gruppen kode24-klubben, da Datahjelperne delte hva det var de hadde sett blant norske nettbrukere den siste tiden.

Utviklerne lastet ned javascript-koden og analyserte den.

Utdrag fra javascript-koden som de får brukerne til å kjøre i nettleseren sin ved å utnytte bokmerke-funksjonen
Utdrag fra javascript-koden som de får brukerne til å kjøre i nettleseren sin ved å utnytte bokmerke-funksjonen

Det de så var at angriperne ba om tilganger til Facebook innlogget som brukeren, snakket med serverne til både Facebook/Instagram og servere kontrollert av dataangriperne. Alt dette skjedde skjult i bakgrunnen uten at nettbrukerne merket noe, eller ble stilt spørsmål fra nettsiden.

Faktisk.no har også sett på koden til en slik side gjennom nettsideanalysetjenesten urlscan.io. Der så vi at siden oppfører seg annerledes om man ikke allerede er innlogget på Facebook.

Det virker som den ondsinnede siden også bruker denne tilgangen til å spre lenker til bitcoin-svindelsider om du er innlogget, og de klarer å utnytte innloggingen din.

– Vi kan ikke si akkurat hvem som står bak, men det kan godt være organiserte kriminelle. De har nok egne utviklere, systemer for å spre det og mer. Alt dette handler om å tjene penger. De er egentlig ikke så interessert i å være innlogget som deg på Facebook, men de vil ha deg til å kjøpe bitcoin og overføre det til dem, sier Sandland i NorSIS.

Svindelen – mange like sider fra «medier» i mange land

Over tid har Faktisk.no sett at mange av svindelsidene er bygget opp på samme måte. I tillegg til at teksten ofte er lik, inneholder sidene blant annet en rekke bildefiler med samme filnavn.

Omfanget er imidlertid større enn tidligere antatt.

Den falske artikkelen som nå deles på Facebook ligger ute på flere forskjellige sider. Ved å analysere lenkene til svindelsidene i it-sikkerhetstjenesten urlscan.io, som skanner nettsider i en simulert datamaskin, ser vi ikke bare at sidene er like i Norge, men at en rekke beslektede artikler er blitt delt i andre europeiske land.

urlscan.io finner også sider som ligner fordi de bruker de samme elementene og oppbygningen i koden.

Totalt har urlscan.io sett 18 andre lignende svindelsider som bruker samme malverk.

Det er sider rettet mot 10 land basert på hvilke medier de lager falske artikler fra:
Australia: ABC News, Australian Business Review

  • Belgia: De Morgen
  • Danmark: Ekstrabladet
  • Frankrike: Le Monde
  • Nederland: NOS, NUS, NCR
  • Østerrike: Kronen Zeitung
  • Sveits: SF Info
  • Sverige: Dagens Nyheter
  • Tyskland: ZDF
  • Norge: Dagbladet

Under er noen eksempler på slike falske artikler fra henholdsvis Sveits, Danmark, Sverige, Nederland og Tyskland. Du kan rulle horisontalt for å se dem alle sammen.

Vidar Sandland i NorSIS forklarer at det at finnes mange liknende sider i forskjellige land, ikke nødvendigvis betyr at det er den samme kriminelle gruppen som retter seg mot Østerrike, som de som står bak falske Dagbladet-artikler i Norge.

For verktøyene for å lage slike svindler er handelsvare og til salgs mellom kriminelle i de mørkere avkrokene av internett. Der kan en kriminell kjøpe alt vedkommende trenger for å sette opp en slik svindel ved hjelp av så kalte rammeverk.

– Noen kriminelle baserer virksomheten sin fullt og helt på å bare selge rammeverket. Det kan være flere kriminelle som står bak, som da har kjøpt det samme rammeverket, sier Sandland.

Råd: Bruk totrinnsverifisering og vær forsiktig

Flere av svindelsidene Faktisk.no har sett på lokker med investeringer i noe som omtales som Bitcoin Profit.

Finanstilsynet har flere ganger distribuert markedsadvarsler mot denne typen «finanstjenester». Både fra Østerrike i 2018 mot Bitcoin profit og fra Spania mot BTC profit i 2019.

– Er det mange som går på dette?

– Vi har ikke noe sikkert antall, men vi får jevnlig henvendelser fra folk som har gjort dette. Så det betyr jo at det skjer, og det gjør også at de fortsetter med dette. For de klarer å få tak i penger på denne måten, sier Vidar Sandland i NorSIS.

Vidar Sandland i NorSIS (foto: NorSIS)

Han har ett hovedråd for å unngå at noen tar over nettkontoer som Facebook, e-post og lignende.

– Det viktigste tiltaket for å beskytte seg er å skru på totrinnsverifisering.

Videre forteller han at følgende kan være lurt om man har vært så uheldig å bli lurt:

  • Gå inn i sikkerhetsinnstillingene på Facebook, der endrer man passord.
  • Under samme sikkerhetsinnstillinger bør man logge seg ut fra alle steder man allerede er innlogget, slik at angriperne ikke kan utnytte en aktiv innlogging.
  • Skru på totrinnsverifisering, om det ikke allerede er på.

Siden noen av disse nye svindlene ikke trenger å be deg oppgi brukernavn og passord, bør man også være forsiktig med bokmerker, fordi de kan inneholde datakode og ikke bare en nettadresse man vil huske.

Den siste tiden har også nettleserutvidelser vist seg å være et virkemiddel som aktivt brukes av datakriminelle. Denne måneden offentliggjorde sikkerhetseksperter at mange millioner brukere av Google Chrome kan ha blitt utsatt for ondsinnede utvidelser, som kjørte kode og stjal data fra brukernes maskiner.

De mer datakyndige kan bidra når de oppdager slike svindelsider, eller sider med ondsinnet kode, ved å rapportere inn adressene til ulike it-sikkerhetstjenester – som f.eks. Googles Safe Browsing.

Om sidene blir svartelistet av Google vil mange nettlesere beskytte brukerne. I stedet for svindel eller dataangrepskode vil de da vise en slik advarsel:

Vipps oss

Ønsker du mer fakta i hverdagen?

Tips oss

Vet du om noe vi bør faktasjekke?