Facebook er igen startskuddet til en storstilet phishing-kampagne, ifølge forskere hos PIXM.
Kampagnen, som først viser tegn på liv tilbage i september 2021, har genereret millioner af sidevisninger og annoncehenvisningsindtægter “estimeret til at være millioner af USD i denne operationsskala”.
Høst af oplysninger i stor skala
Forskere hævder, at trusselsaktørerne stjal en million legitimationsoplysninger på fire måneder for at hjælpe med at opnå ovenstående potentielle indtægtsniveau. Aspekter af phish-kampagnen er ret typiske for, hvad du kan forvente at se fra en Facebook-phish, og den taktik, der bruges til at sprede falske links, er ikke særlig original. Det, der betyder mest af alt, er, at det virker. Når grundlæggende phishing-taktik trækker så mange konti og klik ind, er der ingen grund til at overkomplicere tingene.
En af fupsiderne fra 2021 tiltrak ikke færre end 2,7 millioner brugere, og antallet steg til omkring 8,5 millioner i 2022. Dette er en enorm stigning af allerede betydelige tal, og måske også lidt overraskende, at siden undgik at blive taget ned for misbrug.
Dette er en phishing-kampagne, der ikke er tilfældig.
Hvordan phishen virkede
Desværre mangler detaljer på nogle få områder, men det fungerer som følger.
En Facebook-bruger modtager en notifikation i Messenger. Dette er, når det er mest grundlæggende, et useriøst link. Der er ingen information om, hvorvidt en besked ledsager den, og i så fald hvad den siger. Men noget så simpelt som nedenstående beskeder bruges rutinemæssigt i Facebook-svindel:
- Har du set dette?
- Er det dig på billedet?
- Gæt hvem der døde?
- Se lige det her!
Linket er forkortet for at hjælpe med at omgå Facebook-spamfiltre. De anvendte afkortningstjenester er almindelige, populære og helt legitime. Dette gør det sværere for Facebook at finde ud af, om linket potentielt er godt eller dårligt.
Linket fører potentielle ofre til en række forskellige websteder, men en phishing-side vil være den primære destination. Når offeret er blevet phishet, sendes det et andet sted hen. Det kan være en forfremmelse, en undersøgelsesfidus eller stort set alt andet, der er ad-centreret. Der er også omtale af potentielle malvertiserende sider, oven i truslen om at blive phished. Alle disse links har annoncetrackere og andre annoncerelaterede former for indtægtsgenerering, der summer i baggrunden.
Aktuel status
Ifølge PIXM er kampagnen stadig i live. Mange af de involverede sider er blevet fjernet, og en hjemmeside, der er angivet i landingssidekoden, er blevet “beslaglagt” i forbindelse med en undersøgelse. Hvad den undersøgelse er, og hvem der gør det, er ikke klart.
Det, der er klart, er, at uden dedikerede ressourcer og sandsynlig involvering af retshåndhævelse, vil noget som dette aldrig helt forsvinde. Det er simpelthen for nemt at blive ved med at oprette spam-domæner, tilmelde sig som en affiliate og generere endeløse forkortede URL’er. De (potentielt overdrevne) krav på $150 for hver tusinde besøg fra USA alene fra trusselsaktøren er alt det incitament, de behøver for at blive ved med at gøre det. Som forskere bemærker, ville dette tal resultere i en teoretisk omsætning på $59M fra slutningen af 2021 til nu.
Tips til at undgå Facebook-phishing
Vær på vagt over for beskeder, der ikke følger det naturlige flow i en samtale. Beskeder sendt på usædvanlige tidspunkter eller ud af det blå med et link skal behandles med forsigtighed.
Hvis du bliver præsenteret for en “Login for at se indhold”-boks, skal du tage en dyb indånding, før du går videre. Hvis du allerede er logget ind, burde der ikke være nogen grund til, at du bliver bedt om at logge ind igen. Tjek URL’en. Er du på Facebook.com eller et ikke-relateret websted?
Hvis du er i stand til det, så spørg afsenderen om deres besked fra Facebook. Deres Facebook-konto kan være blevet kompromitteret, men du behøver sandsynligvis ikke bekymre dig om at sende dem en sms.
Aktiver 2-faktor-godkendelse (2FA). Hvis du afleverer din adgangskode til en phishing-side, kan phisheren ikke gøre meget med den, mens du er beskyttet med 2FA. Husk, at nogle phishing-sider også vil forsøge at stjæle dine 2FA-koder.
Tilføj login-advarsler til din Facebook-konto. Hvis nogen kompromitterer dine loginoplysninger og får adgang til din konto, vil du blive underrettet af Facebook, så snart dette sker.