Wykryto dużą kampanię phishingową, która mogła przynieść jej operatorom miliony dolarów dzięki opłatom reklamowym podmiotów stowarzyszonych.
Odkryta przez firmę PIXM zajmującą się cyberbezpieczeństwem zajmującą się sztuczną inteligencją we wrześniu 2021 r., zanim osiągnęła szczyt w kwietniu i maju 2022 r., kampania wykorzystywała usługę Facebook Messenger, legalne adresy URL i usługi skracania stron internetowych za pomocą reklam i ankiet.
Zasada jest prosta: oszuści stworzyli wiele stron phishingowych, na których ofiary są nakłaniane do podania swoich danych logowania do Facebooka. Potem wydarzyły się dwie rzeczy. Po pierwsze: byłyby przekierowywane na stronę internetową z reklamami, ankietami i innymi sposobami generowania przychodów dla operatorów, a po drugie: konta ofiar na Facebooku (otwiera się w nowej karcie) byłyby wykorzystywane do dalszego rozpowszechniania kampanii poprzez Posłaniec.
Omiń zabezpieczenia Facebooka
Messenger jest ogólnie stosunkowo dobry w wykrywaniu i usuwaniu linków phishingowych, ale oszuści byli w stanie ominąć (otwiera się w nowej karcie) mechanizm obronny za pomocą legalnych usług skracania adresów URL, takich jak litch.me, Famous.co, amaze.co i funnel-preview . .com, odkryli naukowcy.
Wygląda na to, że cała kampania została zautomatyzowana, przy bardzo niewielkiej ingerencji ze strony jej mózgów.
„Konto użytkownika zostałoby naruszone i prawdopodobnie w sposób zautomatyzowany cyberprzestępca zalogowałby się na to konto i wysłał link do znajomych użytkownika za pośrednictwem Facebook Messenger” – powiedział PIXM.
Kopiąc głębiej, PIXM znalazł jedną ze stron phishingowych, na których znajdował się link do otwartej, publicznej aplikacji do monitorowania ruchu. Dzięki aplikacji odkryli, że w 2021 roku jedną ze stron phishingowych odwiedziło 2,7 miliona użytkowników, aw tym roku liczba ta wzrosła do 8,5 miliona.
Łącznie 405 unikalnych nazw użytkowników zostało użytych jako identyfikatory kampanii, co prawdopodobnie nie jest całkowitą liczbą kont użytych w kampanii.
PIXM znalazł również fragment kodu wspólny dla wszystkich stron phishingowych, który dotyczył strony przejętej i zamkniętej przez policję. Podobno należy do Kolumbijczyka, niejakiego Rafaela Dorado, przeciwko któremu obecnie toczy się śledztwo.
Szczegóły dotyczące zarobków są skąpe, ale naukowcy twierdzą, że liczą się w „milionach”.
Przez: BleepingComputer (Otwiera się w nowej karcie)