Мобильные платформыНовости

В Facebook нашли фишинговую кампанию, направленную против пользователей iOS и Android

Специалисты компании F-Secure обнаружили в Facebook изощренную фишинговую кампанию, в ходе которой злоумышленники выманивают у пользователей учетные данные Facebook или YouTube.

По данным специалистов, кампания активна более двух недель, и ее операторы за это время успели атаковать несколько стран. К примеру, 15 октября спамеры атаковали шведских пользователей, 17 октября финских, а 19 октября переключились на Германию. Суммарно аналитики F-Secure насчитали почти 200 000 кликов по вредоносным сообщениям, 80% которых пришлись на вышеупомянутые страны.

В Facebook нашли фишинговую кампанию, направленную против пользователей iOS и Android

Атака строится на том, что злоумышленники перехватывают контроль над аккаунтами Facebook, незащищенными двухфакторной аутентификацией. После этого преступники рассылают личные сообщения всем друзьям жертвы через Facebook Messenger и просто публикуют вредоносные послания открыто.

Так как в наше время пользователи стали менее доверчивыми, ссылки в ленте Facebook и Facebook Messenger комплектуются не только названием и описанием, но также отображают картинку и URL. Конечно, если URL ведет на какой-то доверенный сайт, вроде YouTube или Instagram, пользователь скорее потеряет бдительность. Именно на это и делают ставку мошенники.

В Facebook нашли фишинговую кампанию, направленную против пользователей iOS и Android

Первым данную вредоносную кампанию обнаружил и подробно описал ИБ-специалист Барак Тавайли (Barak Tawily). Мошенники научились обманывать пользователей социальной сети, вынуждая Facebook отображать превью, якобы ведущее на YouTube, но на деле приводящее на вредоносный сайт. Дело в том, что для составления превью бот Facebook обращается к ссылке с GET-запросом и ищет определенную информацию, например, такие мета-данные как og:url, og:image и og:title. В силу отсутствия должной валидации между атрибутом og:url и оригинальным доменом, вернувшим HTML, мошенники научились подделывать эти мета-данные таким образом, что бот социальной сети формирует превью на основе информации, полученной с другого сайта. То есть ссылка, которая выглядит как YouTube-ролик, может таковым не являться.

В Facebook нашли фишинговую кампанию, направленную против пользователей iOS и Android
Поддельная ссылка на YouTube

Такие вредоносные ссылки перенаправляют пользователей Android и iOS на фишинговые страницы, одну из которым можно увидеть на скриншоте ниже. Похищенные таким образом учетные данные используются для дальнейшего распространения атаки.

В Facebook нашли фишинговую кампанию, направленную против пользователей iOS и Android

Другие пользователи попадают на contenidoviral[.]net. Ранее сайт был нашпигован всевозможной рекламой, но позже стал перенаправлять посетителей на случайные статьи Wikipedia (wikipedia.org/wiki/Special:Random).