En godt utformet phishing-melding sendt via Facebook Messenger fanget 10 millioner Facebook-brukere og stadig vekk.
I flere måneder nå har millioner av Facebook-brukere blitt lurt av den samme phishing-svindel som hindrer brukere til å overlate kontoopplysningene sine.
Ifølge en rapport som skisserer phishing-kampanjen, er svindelen fortsatt aktiv og fortsetter å presse ofrene til en falsk Facebook-påloggingsside der ofrene blir lokket til å sende inn Facebook-legitimasjonen sin. Ubekreftede estimater tyder på at nesten 10 millioner brukere ble offer for svindelen, og tjente en enkelt gjerningsmann bak phishing-trikset en enorm lønning.
Ifølge en rapport publisert av forskere ved PIXM Security startet phishing-kampanjen i fjor og økte i september. Forskere mener at millioner av Facebook-brukere ble avslørt hver måned av svindelen. Forskere hevder at kampanjen fortsatt er aktiv.
Facebook har ikke svart på forespørsler om kommentarer til denne rapporten.
PIXM hevder at kampanjen er knyttet til en enkelt person i Colombia. Grunnen til at PIXM mener den massive Facebook-svindelen er knyttet til en enkelt person er fordi hver melding kobler tilbake til kode "signert" med en referanse til et personlig nettsted. Forskere oppgir at individet gikk så langt som å svare på forskerhenvendelser.
Hvordan svindelen fungerte
Kjernen i phishing-kampanjen er en falsk Facebook-påloggingsside. Det ser kanskje ikke umiddelbart mistenkelig ut, da det kopierer Facebooks brukergrensesnitt tett.
Når et offer skriver inn sin legitimasjon og klikker "Logg inn", sendes disse legitimasjonene til angriperens server. Deretter, "på en sannsynlig automatisert måte," forklarte forfatterne av rapporten, "ville trusselaktøren logge seg på den kontoen og sende ut lenken til brukerens venner via Facebook Messenger."
Eventuelle venner som klikker på lenken blir brakt til den falske påloggingssiden. Hvis de faller for det, sendes meldingen om legitimasjonstyveri til vennene deres.
Post-credential phish, ofre blir omdirigert til sider med annonser, som også i mange tilfeller inkluderte undersøkelser. Hver av disse sidene genererer henvisningsinntekter for angriperen, sa forskere.
Da forskere tok kontakt med personen som tok krav om phishing-kampanjen, "hevdet personen å tjene $150 for hver tusende besøk [til annonseringsutgangssiden] fra USA."
PIXM anslår nesten 400 millioner amerikansk-baserte sidevisninger av utgangssiden. Dette, sa forskere, "ville sette denne trusselaktørens anslåtte inntekt til $59 millioner fra Q4 2021 til i dag." Forskere tror imidlertid ikke at kriminelle er ærlige om inntektene sine, og legger til at de "sannsynligvis overdriver ganske mye."
Hvordan svindelen omgikk sikkerhet
Gjerningsmannen av denne kampanjen klarte å omgå sikkerhetskontrollene til den sosiale medieplattformen ved å bruke en teknikk som Facebook ikke fanget opp, sa PIXM.
Når et offer klikker på en ondsinnet lenke i Messenger, starter nettleseren en kjede med omdirigeringer. Den første omdirigeringen peker til en legitim «app-distribusjon»-tjeneste. "Etter at brukeren har klikket," forklarte rapportens forfattere, "vil de bli omdirigert til den faktiske phishing-siden. Men når det gjelder hva som lander på Facebook, er det en lenke generert ved hjelp av en legitim tjeneste som Facebook ikke direkte kunne blokkere uten å blokkere legitime apper og lenker også."
Selv om Facebook fanget på og blokkerte noen av disse illegitime domenene, "var det trivielt (og basert på hastigheten vi observerte, sannsynligvis automatisert) å spinne opp en ny lenke ved å bruke den samme tjenesten, med en ny unik ID. Vi observerte ofte at flere ble brukt på en dag, per tjeneste, sa forskere.
PIXM sa at det var i stand til å få tilgang til hackerens egne sider for å spore kampanjene. Dataene indikerte at nesten 2.8 millioner mennesker falt for svindelen i 2021 og 8.5 millioner har gjort det så langt i år.
Forskere advarer: "Så lenge disse domenene forblir uoppdaget ved bruk av legitime tjenester, vil disse phishing-taktikkene fortsette å blomstre."
