Een goed ontworpen phishing-bericht verzonden via Facebook Messenger heeft 10 miljoen Facebook-gebruikers verstrikt en geteld.
Al maanden worden miljoenen Facebook-gebruikers bedrogen door dezelfde phishing-zwendel die gebruikers ertoe overhaalt hun accountgegevens af te staan.
Volgens een rapport waarin de phishing-campagne wordt geschetst, is de zwendel nog steeds actief en worden slachtoffers nog steeds naar een valse Facebook-aanmeldingspagina gestuurd waar slachtoffers worden verleid om hun Facebook-inloggegevens in te dienen. Onbevestigde schattingen suggereren dat bijna 10 miljoen gebruikers ten prooi vielen aan de zwendel, waardoor een enkele dader achter de phishing-truc een enorme betaaldag verdiende.
Volgens een rapport gepubliceerd door onderzoekers van PIXM Security, begon de phishing-campagne vorig jaar en nam in september toe. Onderzoekers geloven dat miljoenen Facebook-gebruikers elke maand werden blootgesteld aan de zwendel. Onderzoekers beweren dat de campagne actief blijft.
Facebook heeft niet gereageerd op verzoeken om commentaar voor dit rapport.
PIXM beweert dat de campagne is gekoppeld aan een enkele persoon in Colombia. De reden waarom PIXM gelooft dat de massale Facebook-zwendel aan één persoon is gekoppeld, is omdat elk bericht teruglinkt naar code "ondertekend" met een verwijzing naar een persoonlijke website. Onderzoekers stellen dat het individu zo ver ging om te reageren op vragen van onderzoekers.
Hoe de zwendel werkte
De kern van de phishing-campagne draait om een valse Facebook-inlogpagina. Het ziet er misschien niet meteen verdacht uit, omdat het de gebruikersinterface van Facebook nauw kopieert.
Wanneer een slachtoffer zijn inloggegevens invoert en op "Inloggen" klikt, worden die inloggegevens naar de server van de aanvaller gestuurd. Vervolgens, "op een waarschijnlijk geautomatiseerde manier", legden de auteurs van het rapport uit, "zou de dreigingsactor inloggen op dat account en de link naar de Vrienden van de gebruiker sturen via Facebook Messenger."
Vrienden die op de link klikken, worden naar de nep-loginpagina geleid. Als ze erin trappen, wordt het bericht over het stelen van referenties doorgestuurd naar hun vrienden.
Post-credential phish, slachtoffers worden omgeleid naar pagina's met advertenties, die in veel gevallen ook enquêtes bevatten. Elk van deze pagina's genereert verwijzingsinkomsten voor de aanvaller, aldus onderzoekers.
Toen onderzoekers contact zochten met de persoon die aanspraak maakte op de phishing-campagne, beweerde de persoon 'dat hij $ 150 verdiende voor elke duizend bezoeken [aan de advertentie-exitpagina] vanuit de Verenigde Staten'.
PIXM schat dat de exit-pagina bijna 400 miljoen in de VS is bekeken. Dit, aldus de onderzoekers, "zou de verwachte inkomsten van deze bedreigingsacteur op $ 59 miljoen brengen vanaf het vierde kwartaal van 4 tot heden." Onderzoekers geloven echter niet dat de crimineel eerlijk is over hun inkomsten, en voegen eraan toe dat ze "waarschijnlijk behoorlijk overdrijven".
Hoe de zwendel de beveiliging heeft omzeild
De dader van deze campagne slaagde erin de beveiligingscontroles van het sociale mediaplatform te omzeilen door een techniek te gebruiken die Facebook niet begreep, zei PIXM.
Wanneer een slachtoffer op een kwaadaardige link in Messenger klikt, start de browser een reeks omleidingen. De eerste omleiding verwijst naar een legitieme "app-implementatie" -service. "Nadat de gebruiker heeft geklikt", leggen de auteurs van het rapport uit, "worden ze doorgestuurd naar de daadwerkelijke phishing-pagina. Maar in termen van wat er op Facebook terechtkomt, is het een link die is gegenereerd met behulp van een legitieme service die Facebook niet volledig kan blokkeren zonder ook legitieme apps en links te blokkeren.
Zelfs als Facebook een van deze onwettige domeinen betrapte en blokkeerde, "was het triviaal (en op basis van de snelheid die we hebben waargenomen, waarschijnlijk geautomatiseerd) om een nieuwe link te starten met dezelfde service, met een nieuwe unieke ID. We observeerden er vaak meerdere die op een dag werden gebruikt, per dienst”, aldus onderzoekers.
PIXM zei dat het toegang had tot de eigen pagina's van de hacker om de campagnes te volgen. De gegevens gaven aan dat bijna 2.8 miljoen mensen in 2021 voor de zwendel vielen en 8.5 miljoen tot nu toe dit jaar.
Onderzoekers waarschuwen: "Zolang deze domeinen onopgemerkt blijven door het gebruik van legitieme services, zullen deze phishing-tactieken blijven bloeien."
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- hacks
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- privacy
- VPN
- website veiligheid
- zephyrnet
