En ny variant av trojanen Carberp är inriktad på att lura Facebook-användare att deras konton är låsta och att de måste betala en lösensumma för att få åtkomst till kontot. När ett offer använder en dator som infekterats av Carberp-trojanen skickas denne vidare till en falsk startsida för Facebook som meddelar att kontot är låst. Användaren uppmanas därefter att skriva in sitt namn, epostadress, lösenord, födelsedatum samt transaktionsnummer på en Ucash-överföring på 20 euro för att godkänna upplåsningen av kontot. Den falska sidan uppger att Ucash-summan kommer att läggas till på användarens "Facebook-saldo", vilket givetvis inte är sant.


Sidan som utpressarna skapat ser ut som en legitim Facebooksida och det kan vara svårt för ett ovetande offer att förstå att de utsätts för ett bedrägeri.

Hittills ingen svensk variant
Anders Nilsson säkerhetsspecialist på Eurosecure, distributör av ESET Nod32 antivirus, förklarar:

- I detta fall fungerar Carberp som en så kallad man-in-the-browser, en attackform som liknar en man-in-the-middle-attack. Trojanen övervakar olika api:n i Windows som läser och skriver på nätet och kan på så sätt byta ut vilken sida som visas – i detta fall visas en falsk Facebooksida. Eftersom Carberp har kontroll över datorn så kan man alltså inte lita på den url som visas. Vet man inte att man är infekterad kan det svårt att veta att man är utsatt för bedrägeriförsök.

- Carberp är mycket spridd i Östeuropa och Ryssland. Hittills har vi dock inte sett någon variant av Facebook-texten på svenska.

I en tid när allt fler har backup på sina viktiga filer i datorn, försöker utpressare hitta nya vägar att skrämma användare till att betala pengar. Just Facebook är en tacksam måltavla då målgruppen för attacken är väldigt stor, samtidigt som Facebooks användare både litar på sidan och dessutom är livrädda att bli av med information eller kontrollen över sitt konto.


Bilden visar hur koden till Carberps "Facebook-plugin" ser ut. Den matchar alla url:er som innehåller "*//*facebook.com/*", och byter ut det mot ett statiskt innehåll som påstår att man måste verifiera ålder och land genom att betala med Ucash. Pengar som man sedan ska få tillbaka när verifieringen är klar.

Anonyma överföringar
Genom att använda Ucash är också risken att bedragarna spåras minimal, då Ucash kan liknas med en anonym kontant betalning. Bedragarna kan alltså ta emot en betalning och omedelbart omsätta pengarna de tjänat på andra platser på nätet, alternativt sälja e-pengarna vidare.

Vid vanliga liknande attacker mot exempelvis bankers inloggningssidor krävs i princip alltid att bedragaren vid något tillfälle måste föra över pengar mellan bankkonton för att komm åt dem, vilket ökar risken att de åker fast. Därför har det blivit allt vanligare att bedragare använder sig av olika betaltjänster och direktöverföringar.

Behövs någon form av reglering eller övervakning av hanteringern av så kallade e-pengar?

- Anonymitet kan ha negativa baksidor, men jag kan trots det inte påstå att jag är för någon form av reglering, det är en universallösning jag inte riktigt litar på. Däremot är det viktigt att de datoranvändare som fått sina datorer infekterade med allvarliga trojaner och botnätsklienter får reda på det och här spelar internetleverantörerna en viktig roll. I extremfallen kan det vara läge att stänga av tillgången till nätet helt, till exempel när man ser att en dator skickar stora mängder spam, något som vissa svenska isp:er redan gör, säger Anders Nilsson.