Facebook Messenger-svindel dupede millioner

I flere måneder er millioner af Facebook-brugere blevet narret af det samme phishing-svindel, der forhindrer brugerne i at udlevere deres kontooplysninger.

Ifølge en rapport, der skitserer phishing-kampagnen, er fidusen stadig aktiv og fortsætter med at skubbe ofre til en falsk Facebook-loginside, hvor ofre bliver lokket til at indsende deres Facebook-legitimationsoplysninger. Ubekræftede skøn tyder på, at næsten 10 millioner brugere blev ofre for fidusen, hvilket gav en enkelt gerningsmand bag phishing-tricket en kæmpe lønningsdag.

Ifølge en rapport offentliggjort af forskere ved PIXM Security begyndte phishing-kampagnen sidste år og steg i september. Forskere mener, at millioner af Facebook-brugere hver måned blev afsløret af fidusen. Forskere hævder, at kampagnen forbliver aktiv.

Facebook har ikke besvaret anmodninger om kommentarer til denne rapport.

PIXM hævder, at kampagnen er knyttet til en enkelt person i Colombia. Grunden til, at PIXM mener, at det massive Facebook-svindel er knyttet til en enkelt person, er, at hver besked linker tilbage til kode "signeret" med en henvisning til en personlig hjemmeside. Forskere oplyser, at den enkelte gik så langt som at svare på forskerforespørgsler.

Hvordan fidusen virkede

Kernen i phishing-kampagnen er centreret omkring en falsk Facebook-loginside. Det ser måske ikke umiddelbart mistænkeligt ud, da det kopierer Facebooks brugergrænseflade tæt.

Når et offer indtaster deres legitimationsoplysninger og klikker på "Log ind", sendes disse legitimationsoplysninger til angriberens server. Derefter, "på en sandsynligvis automatiseret måde," forklarede forfatterne af rapporten, "ville trusselsaktøren logge ind på den konto og sende linket til brugerens venner via Facebook Messenger."

Alle venner, der klikker på linket, bringes til den falske login-side. Hvis de falder for det, bliver meddelelsen om legitimationsstjæling videresendt til deres venner.

Post-credential phish, ofre bliver omdirigeret til sider med annoncer, som også i mange tilfælde også omfattede undersøgelser. Hver af disse sider genererer henvisningsindtægter til angriberen, sagde forskere.

Da forskere nåede ud til den person, der tog krav på phishing-kampagnen, "hævdede personen at tjene 150 USD for hver tusinde besøg [til annonceudgangssiden] fra USA."

PIXM anslår næsten 400 millioner amerikansk-baserede sidevisninger af exit-siden. Dette, sagde forskere, "ville sætte denne trusselsaktørs forventede omsætning til $59M fra Q4 2021 til i dag." Forskere mener dog ikke, at forbryderen er ærlig omkring deres indtjening, og tilføjer, at de "sandsynligvis overdriver en del."

Hvordan fidusen omgik sikkerheden

Gerningsmanden bag denne kampagne formåede at omgå den sociale medieplatforms sikkerhedstjek ved at bruge en teknik, som Facebook ikke fangede, sagde PIXM.

Når et offer klikker på et ondsindet link i Messenger, starter browseren en kæde af omdirigeringer. Den første omdirigering peger på en legitim "app-implementering"-tjeneste. "Når brugeren har klikket," forklarede rapportens forfattere, "vil de blive omdirigeret til den faktiske phishing-side. Men med hensyn til, hvad der lander på Facebook, er det et link, der er genereret ved hjælp af en legitim tjeneste, som Facebook ikke direkte kunne blokere uden også at blokere legitime apps og links."

Selvom Facebook fangede og blokerede et af disse illegitime domæner, "var det trivielt (og baseret på den hastighed, vi observerede, sandsynligvis automatiseret) at oprette et nyt link ved hjælp af den samme tjeneste med et nyt unikt ID. Vi observerede ofte, at flere blev brugt på en dag, pr. tjeneste," sagde forskere.

PIXM sagde, at det var i stand til at få adgang til hackerens egne sider for at spore kampagnerne. Dataene indikerede, at næsten 2.8 millioner mennesker faldt for fidusen i 2021, og 8.5 millioner har hidtil i år.

Forskere advarer: "Så længe disse domæner forbliver uopdaget ved brug af legitime tjenester, vil disse phishing-taktik fortsætte med at blomstre."