Ett välarbetat nätfiskemeddelande skickat via Facebook Messenger fångade 10 miljoner Facebook-användare och allt fler.
I månader nu har miljontals Facebook-användare blivit lurade av samma nätfiskebedrägeri som hindrar användare att lämna över sina kontouppgifter.
Enligt en rapport som beskriver nätfiskekampanjen är bluffen fortfarande aktiv och fortsätter att pressa offer till en falsk Facebook-inloggningssida där offren lockas att skicka in sina Facebook-uppgifter. Obekräftade uppskattningar tyder på att nästan 10 miljoner användare blev offer för bluffen, vilket gav en enda förövare bakom nätfiske-tricket en enorm lönedag.
Enligt en rapport publicerad av forskare vid PIXM Security började nätfiskekampanjen förra året och ökade i september. Forskare tror att miljontals Facebook-användare avslöjades varje månad av bluffen. Forskare hävdar att kampanjen förblir aktiv.
Facebook har inte svarat på förfrågningar om kommentarer för denna rapport.
PIXM hävdar att kampanjen är knuten till en enda person i Colombia. Anledningen till att PIXM tror att den massiva Facebook-bluffen är knuten till en enda individ är att varje meddelande länkar tillbaka till kod "signerad" med en referens till en personlig webbplats. Forskare uppger att individen gick så långt som att svara på forskarförfrågningar.
Hur bluffen fungerade
Kärnan i nätfiskekampanjen kretsar kring en falsk Facebook-inloggningssida. Det kanske inte ser direkt misstänkt ut, eftersom det kopierar Facebooks användargränssnitt på nära håll.
När ett offer anger sina autentiseringsuppgifter och klickar på "Logga in", skickas dessa uppgifter till angriparens server. Sedan, "på ett troligt automatiserat sätt", förklarade författarna till rapporten, "skulle hotaktören logga in på det kontot och skicka ut länken till användarens vänner via Facebook Messenger."
Alla vänner som klickar på länken kommer till den falska inloggningssidan. Om de faller för det vidarebefordras meddelandet om identitetsstöld till deras vänner.
Post-credential phish, offer omdirigeras till sidor med reklam, som också i många fall även omfattade undersökningar. Var och en av dessa sidor genererar hänvisningsintäkter för angriparen, sa forskare.
När forskare kontaktade individen som tog anspråk på nätfiskekampanjen "påstod individen att han tjänade 150 USD för varje tusen besök [till reklamsidan] från USA."
PIXM uppskattar nästan 400 miljoner USA-baserade sidvisningar av utgångssidan. Detta, sa forskare, "skulle sätta den här hotaktörens beräknade intäkter till 59 miljoner USD från fjärde kvartalet 4 till idag." Men forskare tror inte att brottslingen är ärlig om sina inkomster, och tillägger att de "förmodligen överdriver ganska mycket."
Hur bluffen förbigick säkerheten
Förövaren av den här kampanjen lyckades kringgå säkerhetskontrollerna på den sociala medieplattformen genom att använda en teknik som Facebook inte fångade, sa PIXM.
När ett offer klickar på en skadlig länk i Messenger initierar webbläsaren en kedja av omdirigeringar. Den första omdirigeringen pekar på en legitim "appdistribution"-tjänst. "När användaren har klickat", förklarade rapportens författare, "omdirigeras de till den faktiska nätfiskesidan. Men när det gäller vad som landar på Facebook är det en länk som genereras med en legitim tjänst som Facebook inte direkt kunde blockera utan att blockera legitima appar och länkar också."
Även om Facebook fastnade för och blockerade någon av dessa olagliga domäner, "var det trivialt (och baserat på hastigheten vi observerade, troligen automatiserat) att skapa en ny länk med samma tjänst, med ett nytt unikt ID. Vi såg ofta flera använda på en dag, per tjänst, sa forskare.
PIXM sa att det kunde komma åt hackarens egna sidor för att spåra kampanjerna. Uppgifterna indikerade att nästan 2.8 miljoner människor föll för bluffen 2021 och 8.5 miljoner har hittills i år.
Forskare varnar, "Så länge dessa domäner förblir oupptäckta genom användning av legitima tjänster, kommer dessa nätfisketaktik att fortsätta att blomstra."
