Facebook, la nuova campagna di phishing ha colpito 500.000 utenti
Un messaggio di phishing diffuso tramite Facebook avrebbe ingannato quasi 500.000 utenti nel giro di due settimane.
“Sei tu” è una truffa di phishing che circola su Facebook in varie forme almeno dal 2017. Tutto parte da un messaggio che viene inviato sul social da parte di uno dei propri amici. L’ “amico” afferma di aver trovato un video o un’immagine in cui all’interno sarebbe presente la vittima. Il messaggio contiene un contenuto simile ad un video che, se cliccato, guida attraverso una catena di siti Web infettati da script dannosi.
Questi script determinano la posizione della vittima, il dispositivo che si sta utilizzando e il sistema operativo. Quindi si viene reindirizzati ad una pagina scam per raccogliere le credenziali e infettare il dispositivo.
Le vittime sarebbero circa 500.000 dall’inizio della campagna di phishing risalente al 26 gennaio 2020 e il 77% delle vittime risiederebbe in Germania.
Non è ancora chiaro se l’attore della minaccia dietro l’operazione di phishing voglia utilizzare gli account Facebook compromessi per scopi dannosi diversi dalla semplice diffusione della campagna di phishing attraverso i contatti di Messenger delle vittime.
Dall’indagine condotta e pubblicata sulla pagina CyberNews, sarebbe emerso che l’attore della minaccia aveva utilizzato un servizio di statistiche web di terze parti legittimo per monitorare la campagna. Questo ha aiutato nella conduzione delle indagini e a scoprire la data di inizio della campagna, il numero di utenti interessati e altre informazioni utili.
La campagna di phishing
La truffa viene avviata inviando alla potenziale vittima un messaggio da parte di uno dei suoi contatti di Facebook.
Il messaggio conterebbe un collegamento video con un testo che chiede alla vittima “Sei tu?”. Sembra che il messaggio utilizzi il protocollo Open Graph di Facebook per manipolare l’anteprima del video falso ed includere quindi il nome del destinatario. Dopo aver fatto clic sul collegamento dannoso, la vittima viene reindirizzata a una falsa pagina di phishing di Facebook.
Lo script dannoso che reindirizza la vittima alla pagina di phishing è nascosto in quello che sembra essere un sito Web legittimo compromesso. L’utilizzo di quest’ultimo per ospitare script di reindirizzamento dannosi rende l’attacco di phishing più efficace in quanto può essere utilizzato per aggirare le blacklist di Facebook.
Il team a capo dell’indagine è riuscito a scoprire che lo script dannoso era firmato dall’autore (Sviluppato da BenderCrack.com).
Il dominio menzionato nella firma non esiste più. Tuttavia, dopo ulteriori indagini, si è scoperta una pagina Facebook che potrebbe essere collegata al creatore dello script dannoso.
È stato inoltre possibile scoprire che dall’inizio della campagna, un totale di circa 500.000 utenti hanno finito per fare clic sul collegamento di phishing. Riuscendo ad accedere al dashboard dell’attore della minaccia, è stato possibile identificare i dispositivi e i browser utilizzati prevalentemente dagli utenti interessati.
Nonostante gli sforzi di Facebook nel creare un rigoroso sistema di controlli per fermare la diffusione di malware e collegamenti dannosi, questi tipi di campagne sono abbastanza sofisticate da aggirare almeno temporaneamente tali misure.
È chiaro che la campagna di phishing “Sei tu” era rivolta ai residenti tedeschi per raccogliere le loro credenziali. Rimane ancora il dubbio se l’abuso di massa degli account Facebook violati sia stato perpetrato per altri oscuri obiettivi, oltre a diffondere la campagna.
L’ennesima campagna di phishing diffusa su Facebook spinge ancora una volta a prestare massima attenzione ai messaggi che vengono inviati, anche dai propri contatti. Gli attacchi di phishing di solito utilizzano un qualche tipo di ingegneria sociale per indurre gli utenti a fare clic su collegamenti dannosi o a scaricare file infetti. Rimane poi la regola di fare attenzione a qualsiasi attività sospetta sul tuo account Facebook o su altri account.
