La truffa di Facebook Messenger ha ingannato milioni di persone

Da mesi ormai, milioni di utenti di Facebook sono stati ingannati dalla stessa truffa di phishing che induce gli utenti a consegnare le credenziali del proprio account.

Secondo un rapporto che delinea la campagna di phishing, la truffa è ancora attiva e continua a spingere le vittime su una falsa pagina di accesso a Facebook dove le vittime sono indotte a inviare le proprie credenziali di Facebook. Stime non confermate suggeriscono che quasi 10 milioni di utenti sono caduti preda della truffa, guadagnando un enorme guadagno per un singolo autore dietro lo stratagemma di phishing.

Secondo un rapporto pubblicato dai ricercatori di PIXM Security, la campagna di phishing è iniziata lo scorso anno e si è intensificata a settembre. I ricercatori ritengono che milioni di utenti Facebook siano stati esposti ogni mese alla truffa. I ricercatori affermano che la campagna rimane attiva.

Facebook non ha risposto alle richieste di commento per questo rapporto.

PIXM afferma che la campagna è legata a una singola persona che si trova in Colombia. Il motivo per cui PIXM ritiene che la massiccia truffa di Facebook sia legata a un singolo individuo è perché ogni messaggio rimanda al codice "firmato" con un riferimento a un sito Web personale. I ricercatori affermano che l’individuo è arrivato al punto di rispondere alle domande dei ricercatori.

Come ha funzionato la truffa

Il nocciolo della campagna di phishing è incentrato su una falsa pagina di accesso a Facebook. Potrebbe non sembrare immediatamente sospetto, poiché copia fedelmente l'interfaccia utente di Facebook.

Quando una vittima inserisce le proprie credenziali e fa clic su "Accedi", tali credenziali vengono inviate al server dell'aggressore. Quindi, "in modo probabilmente automatizzato", hanno spiegato gli autori del rapporto, "l'autore della minaccia accederebbe a quell'account e invierebbe il collegamento agli amici dell'utente tramite Facebook Messenger".

Tutti gli amici che fanno clic sul collegamento vengono indirizzati alla pagina di accesso falsa. Se ci cascano, il messaggio di furto di credenziali verrà inoltrato ai loro amici.

Dopo il phishing delle credenziali, le vittime vengono reindirizzate a pagine con annunci pubblicitari, che in molti casi includono anche sondaggi. Ciascuna di queste pagine genera entrate da referral per l'aggressore, hanno affermato i ricercatori.

Quando i ricercatori hanno contattato l'individuo che rivendicava la campagna di phishing, l'individuo "ha affermato di guadagnare $ 150 per ogni mille visite [alla pagina di uscita pubblicitaria] dagli Stati Uniti".

PIXM stima quasi 400 milioni di visualizzazioni di pagina della pagina di uscita negli Stati Uniti. Ciò, hanno affermato i ricercatori, “porterebbe le entrate previste di questo attore della minaccia a 59 milioni di dollari dal quarto trimestre del 4 a oggi”. Tuttavia, i ricercatori non credono che il criminale sia onesto riguardo ai propri guadagni, aggiungendo che "probabilmente stanno esagerando un po'".

Come la truffa ha aggirato la sicurezza

L'autore di questa campagna è riuscito a eludere i controlli di sicurezza della piattaforma di social media utilizzando una tecnica che Facebook non ha rilevato, ha affermato PIXM.

Quando una vittima fa clic su un collegamento dannoso in Messenger, il browser avvia una catena di reindirizzamenti. Il primo reindirizzamento punta a un servizio legittimo di “distribuzione di app”. “Dopo che l'utente ha cliccato”, spiegano gli autori del rapporto, “verrà reindirizzato alla pagina di phishing vera e propria. Ma, in termini di ciò che arriva su Facebook, si tratta di un collegamento generato utilizzando un servizio legittimo che Facebook non può bloccare completamente senza bloccare anche app e collegamenti legittimi."

Anche se Facebook si fosse accorto e avesse bloccato uno qualsiasi di questi domini illegittimi, “era banale (e in base alla velocità che abbiamo osservato, probabilmente automatizzato) creare un nuovo collegamento utilizzando lo stesso servizio, con un nuovo ID univoco. Spesso ne osserveremmo diversi utilizzati in un giorno, per servizio”, hanno detto i ricercatori.

PIXM ha affermato di essere in grado di accedere alle pagine dell'hacker per monitorare le campagne. I dati indicano che quasi 2.8 milioni di persone sono cadute nella truffa nel 2021 e 8.5 milioni lo sono finora quest’anno.

I ricercatori avvertono: “Finché questi domini non verranno rilevati dall’uso di servizi legittimi, queste tattiche di phishing continueranno a prosperare”.