Každý, kdo si vede statistiky o návštěvnosti blogu, si určitě povšiml, že k němu občas zavítají čtenáři z facebookového profilu Gertrudy, ale když se podívá na její Timeline, kromě překrásné ruské víly Alexandry tam žádný příspěvek ke svému blogu nenajde. A krom toho rozhodně netuší, že Gertruda bývala kdysi dost nebezpečná. Naučili jí podstrkávat do statistik odkazy na svůj profil a když jste na ně klikli, mohli jste při nejhorším scénáři přijít o všechny svoje účty.
Profil Gertrudy se ve statistikách blogů objevuje poměrně často ve formě HTTP referreru http://www.facebook.com/Gertruda. Referrer je identifikátor webových stránek, ze kterých k vám čtenáři zavítali a pro správce blogů to bývá jeden z nejcennějších zdrojů informací. Gertruda si toho bývala dobře vědoma, a tak vám do statistik dodnes podstrkává odkazy na svůj profil a tajně doufá, že kliknete… Z milionů uživatelů vždycky někdo klikne. Dnes už naštěstí z její strany nic nehrozí.
Samotná ruská dívka Alexandra samozřejmě nemusí mít vůbec ponětí, že její profil je součástí referrer spamu – a byl jím ostatně už nejméně pět let dozadu, ještě v dobách, kdy na url odkaze měla profil úplně jiná německá nezletilá dívka, a byl jím také v době, kdy na odkaze dva roky nikdo svůj profil neměl. Také tam působil falešný profil jisté Gert Rúdy, ale to je už hodně dávno, a právě ten měl být hlavním aktérém tehdejší kybernetické hrozby…
V té dávné době, když jste na odkaz klikli ze svých statistik, dostali jste se na stránky se škodlivým a phishingovým obsahem. Jak dávno to muselo zhruba být, o tom svědčí zastaralý odkaz http namísto moderního zabezpečeného https. Ten už Facebook roky nepoužívá. Dnes už můžeme pouze spekulovat, co Gertruda v minulosti prováděla, ale nejspíše se zaměřovala na krádeže facebookových profilů.
Dodnes ovšem zahlcuje správcům webů statistiky tímto prehistorickým odkazem. My jsme se jí koukli trochu blíže na zoubek a zjistili jsme, že používá nejméně 13 stálých IP adres. Nejvíce z nich je svázaných s bratislavskou společností ESET, softwarovou společností, která má naopak své klienty chránit před kybernetickými hrozbami. O tom, že Gertruda má původ ve střední Evropě, svědčí i písmeno „ú“ ve falešném profilu Gert Rúdy.
Uvádíme pro jistotu seznam všech námi zachycených IP adres bez časových údajů:
193.85.203.151
212.73.202.122
212.73.202.86
62.67.184.93
62.67.186.10
62.67.186.23
91.228.165.49
91.228.167.109
91.228.167.122
91.228.167.130
91.228.167.38
91.228.167.60
91.228.167.96
Ochranou před touto starou a jinými aktuálními hrozbami je neklikat ani ve vlastních statistikách na neznámé odkazy. Mnohem bezpečnější je odkaz zkopírovat a nejprve si jej nechat vyhledat v internetovém vyhledávači, co o odkaze píší jiní uživatelé. Užitečné je také podívat se například na stránky virustotal.com a nechat si odkaz prověřit přímo tam.
Aktualizace:
Informace o spojení s antivirovou společností ESET pochází z aktuálních whois výpisů k uvedeným IP adresám. Jakým způsobem Gertruda tyto adresy používá a zda nejde o podvrh ve statistických záznamech, je otázkou už pro IT odborníky, možná i pro samotnou společnost ESET.