Шахрайство з Facebook Messenger обдурило мільйони

Ось уже кілька місяців мільйони користувачів Facebook обманюються тією ж фішинговою аферою, яка змушує користувачів надати облікові дані свого облікового запису.

Відповідно до звіту, в якому описується фішингова кампанія, шахрайство все ще активно і продовжує штовхати жертв на підроблену сторінку входу в Facebook, де жертв спокушають надати свої облікові дані Facebook. За непідтвердженими оцінками, майже 10 мільйонів користувачів стали жертвами шахрайства, що принесло одному зловмиснику, який стоїть за фішингом, величезну зарплату.

У відповідності з звіт опублікований Дослідники PIXM Security стверджують, що фішингова кампанія почалася минулого року та наростила у вересні. Дослідники вважають, що мільйони користувачів Facebook щомісяця викривалися через шахрайство. Дослідники стверджують, що кампанія залишається активною.

Facebook не відповів на запити щодо коментарів щодо цього звіту.

PIXM стверджує, що кампанія пов’язана з однією людиною в Колумбії. Причина, чому PIXM вважає, що масштабне шахрайство Facebook пов’язане з однією особою, полягає в тому, що кожне повідомлення посилається на код, «підписаний» посиланням на особистий веб-сайт. Дослідники стверджують, що особа зайшла настільки далеко, що відповідала на запити дослідників.

Як працювала афера

Суть фішингової кампанії зосереджена навколо підробленої сторінки входу в Facebook. Це може не відразу виглядати підозрілим, оскільки воно точно копіює інтерфейс користувача Facebook.

Коли жертва вводить свої облікові дані та натискає «Увійти», ці облікові дані надсилаються на сервер зловмисника. Потім, «імовірно автоматизованим способом», — пояснили автори звіту, «актор загрози увійде в цей обліковий запис і надішле посилання друзям користувача через Facebook Messenger».

Будь-які Друзі, які натискають посилання, потрапляють на підроблену сторінку входу. Якщо вони потрапляють на це, повідомлення про крадіжку облікових даних пересилається їхнім друзям.

Після реєстраційного фішу жертви перенаправляються на сторінки з рекламою, яка також у багатьох випадках також включала опитування. За словами дослідників, кожна з цих сторінок приносить зловмиснику дохід від рефералів.

Коли дослідники зв’язалися з особою, яка заявила про фішингову кампанію, ця особа «стверджувала, що заробляє 150 доларів США за кожну тисячу відвідувань [сторінки виходу з реклами] зі Сполучених Штатів».

PIXM оцінює майже 400 мільйонів переглядів сторінки виходу в США. За словами дослідників, це призведе до того, що «прогнозований дохід цього актора загрози складе 59 мільйонів доларів з 4 кварталу 2021 року до сьогодні». Однак дослідники не вірять, що злочинець був чесним щодо своїх доходів, додаючи, що вони, «ймовірно, трохи перебільшують».

Як шахрайство обійшло безпеку

Зловмиснику цієї кампанії вдалося обійти перевірку безпеки платформи соціальних медіа, використовуючи техніку, яку Facebook не виявив, повідомляє PIXM.

Коли жертва натискає на шкідливе посилання в Messenger, браузер ініціює ланцюжок перенаправлень. Перше переспрямування вказує на законну службу «розгортання програми». «Після того, як користувач клацне, — пояснили автори звіту, — він буде перенаправлений на справжню фішингову сторінку. Але з точки зору того, що потрапляє на Facebook, це посилання, згенероване за допомогою легітимної служби, яку Facebook не міг заблокувати без блокування законних програм і посилань».

Навіть якщо Facebook помітить і заблокує будь-який із цих нелегітимних доменів, «було тривіально (і, виходячи зі швидкості, яку ми спостерігали, ймовірно автоматизовано), створити нове посилання за допомогою тієї самої служби з новим унікальним ідентифікатором. Ми часто спостерігали кілька використань протягом дня за одну послугу», — кажуть дослідники.

PIXM заявив, що отримав доступ до власних сторінок хакера для відстеження кампаній. Дані свідчать про те, що майже 2.8 мільйона людей потрапили на аферу в 2021 році, а 8.5 мільйона – цього року.

Дослідники попереджають: «Поки ці домени залишаються непоміченими за допомогою законних служб, ця тактика фішингу продовжуватиме процвітати».