Facebook Messenger -huijaus huijannut miljoonia

Jo kuukausien ajan miljoonia Facebookin käyttäjiä on huijattu samalla tietojenkalasteluhuijauksella, joka pakottaa käyttäjät luovuttamaan tilinsä tunnistetiedot.

Tietojenkalastelukampanjaa kuvaavan raportin mukaan huijaus on edelleen aktiivinen ja työntää uhrit edelleen väärennetylle Facebook-kirjautumissivulle, jonne uhreja houkutellaan lähettämään Facebook-tunnuksensa. Vahvistamattomien arvioiden mukaan lähes 10 miljoonaa käyttäjää joutui huijauksen uhriksi, mikä ansaitsi huijauksen takana yhdelle tekijälle valtavan palkkapäivän.

Mukaan raportti julkaistu PIXM Securityn tutkijoiden tietojenkalastelukampanja alkoi viime vuonna ja käynnistyi syyskuussa. Tutkijat uskovat, että miljoonat Facebookin käyttäjät altistuvat joka kuukausi huijaukselle. Tutkijat väittävät, että kampanja on edelleen aktiivinen.

Facebook ei ole vastannut tätä raporttia koskeviin kommenttipyyntöihin.

PIXM väittää, että kampanja on sidottu yhteen Kolumbiassa asuvaan henkilöön. Syy, miksi PIXM uskoo massiivisen Facebook-huijauksen olevan sidottu yhteen henkilöön, johtuu siitä, että jokainen viesti linkittää takaisin koodiin, joka on "allekirjoitettu" viittauksella henkilökohtaiseen verkkosivustoon. Tutkijoiden mukaan henkilö on mennyt niin pitkälle, että vastasi tutkijoiden tiedusteluihin.

Kuinka huijaus toimi

Tietojenkalastelukampanjan ydin keskittyy väärennetyn Facebook-kirjautumissivun ympärille. Se ei välttämättä näytä heti epäilyttävältä, koska se kopioi Facebookin käyttöliittymää tarkasti.

Kun uhri syöttää tunnistetietonsa ja napsauttaa "Kirjaudu sisään", nämä tunnistetiedot lähetetään hyökkääjän palvelimelle. Sitten raportin kirjoittajat selittivät "todennäköisesti automatisoidulla tavalla", "uhkatekijä kirjautuisi tälle tilille ja lähettäisi linkin käyttäjän ystäville Facebook Messengerin kautta."

Kaikki linkkiä napsauttavat ystävät tuodaan väärennetylle kirjautumissivulle. Jos he sortuvat siihen, valtuustietojen varastamisesta kertova viesti välitetään heidän ystävilleen.

Tunnusten jälkeiset phish, uhrit ohjataan sivuille, joilla on mainoksia, jotka myös sisälsivät monissa tapauksissa myös kyselyjä. Jokainen näistä sivuista tuottaa hyökkääjälle viittaustuloja, tutkijat sanoivat.

Kun tutkijat ottivat yhteyttä tietojenkalastelukampanjasta vaativaan henkilöön, hän "väitti ansaitsevansa 150 dollaria jokaisesta tuhannesta Yhdysvalloista [mainonnan poistumissivulla tehdystä] käynnistä".

PIXM arvioi lähes 400 miljoonaa yhdysvaltalaista poistumissivun näyttökertaa. Tutkijat sanoivat, että "tämän uhkatoimijan ennustetut tulot olisivat 59 miljoonaa dollaria vuoden 4 viimeisestä neljänneksestä tähän päivään." Tutkijat eivät kuitenkaan usko, että rikollinen on rehellinen tuloistaan, vaan lisäävät "luultavasti liioittelevansa melkoisesti".

Kuinka huijaus ohitti turvallisuuden

Tämän kampanjan tekijä onnistui kiertämään sosiaalisen median tietoturvatarkastukset käyttämällä tekniikkaa, jota Facebook ei saanut kiinni, PIXM sanoi.

Kun uhri napsauttaa haitallista linkkiä Messengerissä, selain käynnistää uudelleenohjausketjun. Ensimmäinen uudelleenohjaus viittaa lailliseen "sovelluksen käyttöönotto" -palveluun. "Kun käyttäjä on napsauttanut", raportin kirjoittajat selittivät, "he ohjataan varsinaiselle tietojenkalastelusivulle. Mutta mitä tulee Facebookiin, se on linkki, joka on luotu käyttämällä laillista palvelua, jota Facebook ei voinut suoraan estää estämällä myös laillisia sovelluksia ja linkkejä."

Vaikka Facebook saisi kiinni ja estäisi jonkin näistä laittomista verkkotunnuksista, "oli triviaalia (ja havaitsemamme nopeuden perusteella todennäköisesti automatisoitua) luoda uusi linkki käyttämällä samaa palvelua uudella yksilöivällä tunnuksella. Havaitsimme usein useita käytettyjä päivässä per palvelu", tutkijat sanoivat.

PIXM kertoi pääsevänsä hakkerin omille sivuille kampanjoiden seurantaa varten. Tietojen mukaan huijaukseen joutui vuonna 2.8 lähes 2021 miljoonaa ihmistä ja tänä vuonna tähän mennessä 8.5 miljoonaa.

Tutkijat varoittavat: "Niin kauan kuin näitä verkkotunnuksia ei havaita laillisten palvelujen käytön vuoksi, nämä tietojenkalastelutaktiikat kukoistavat."