Atak phishingowy wymierzony w użytkowników Mastodona nawołuje do „weryfikacji tożsamości” przez podanie danych karty kredytowej

W zrzutach ekranu zaprezentowanych w artykule celowo zamazane zostały dane konta oraz linki prowadzące do strony związanej z kampanią phishingową.

Atak polega na wyłudzeniu danych do karty kredytowej. W jednym z przypadków posty dotyczące rzekomej konieczności weryfikacji danych zostały publicznie udostępnione. Postanowiłem zweryfikować autentyczność jednego z tych linków i na podstawie uzyskanych informacji przekazałem zgłoszenie do CERT-u.

Chodzi tutaj o link zaczynający się na „mastadon-verify”. Cała strona jest za Cloudflare’em. Przesłałem zapytanie do reprezentantów firmy i oczekuję odpowiedzi.

Po przejściu zagadki wygenerowanej przez Cloudflare’a, naszym oczom ukazuje się napis „Haron Rent” oraz błąd w języku rosyjskim o nieznalezionej stronie:

Według Impervy, w przeszłości „Haron Rent” był powiązany z atakami phishingowymi, które podszywały się pod 350 znanych firm. Nazwy i linki do kanałów na Telegramie obecnie kierują do kanałów niepowiązanych z tą grupą.

Gdy kliknąłem w link, który został podany przez cyberoszusta, pokazał mi się monit noszący nazwę „secure card verification” (czyli tłumacząc dosłownie, „bezpieczna weryfikacja karty [kredytowej]”), logotyp Mastodona, a pod nim napis „Mastodon Verification Users” i jeszcze niżej „przypominajka” o „zablokowanym” koncie.

Przycisk na niebiesko w tej wiadomości prowadzi do strony, która podszywa się pod system płatności Square i prosi o dane karty kredytowej. Nie wpisałem tam żadnych prawdziwych danych. Skontaktowałem się z firmą Square w celu uzyskania komentarza, jednak do czasu publikacji artykułu nie otrzymałem odpowiedzi.

Eugen Rochko, twórca Mastodona oraz zarządca największej instancji tego oprogramowania, mastodon.social, wydał oświadczenie, w którym zapewnił, że weryfikacja kont „nie wymaga przesyłania skanów dokumentów tożsamości”.

Mastodon umożliwia zweryfikowanie autentyczności konta za pomocą odpowiednio przygotowanego linku do profilu zamieszczanego na stronie internetowej — co można zauważyć na naszym przykładzie, gdzie link do „Kontrabandy” jest pokolorowany na zielono.

Konto należące do cyberoszustów zostało już zablokowane, ale z uwagi na to, że Fediwersum jest siecią zdecentralizowaną — nie wszystkie instancje zdążyły jeszcze takiej informacji przetworzyć.

Sytuacja jest rozwojowa i będzie uzupełniana o nowe informacje, gdy takie otrzymamy.

---

Źródła

Zdjęcie tytułowe zostało stworzone własnoręcznie, z wyjątkiem przedstawionych grafik należących do właścicieli instancji mastodon.social. Treść artykułu powstała na podstawie następujących źródeł tekstowych i/lub audiowizualnych:

• Post z mastodon.social opublikowany przez Eugena Rochko w dniu 13.07.2025