Ερευνητές ασφαλείας της Group-IB ανακάλυψαν μια, μεγάλης κλίμακας, εκστρατεία απάτης που στοχεύει χρήστες του Facebook Messenger σε όλο τον κόσμο. Οι αναλυτές του Digital Risk Protection της εταιρείας (DRP) έχουν βρει στοιχεία που αποδεικνύουν ότι χρήστες σε περισσότερες από 80 χώρες στην Ευρώπη, την Ασία, την περιοχή της MEA (Μέση Ανατολή και Αφρική), τη Βόρεια και τη Νότια Αμερική ενδέχεται να έχουν επηρεαστεί.
Με τη διανομή διαφημίσεων που προωθούν μια υποτιθέμενη ενημερωμένη έκδοση του Facebook Messenger, οι κυβερνοεγκληματίες συγκεντρώνουν τα credentials σύνδεσης των χρηστών. Οι ερευνητές ανακάλυψαν σχεδόν 1.000 fake Facebook προφίλ που έχουν χρησιμοποιηθεί στα πλαίσια αυτής της κακόβουλης δραστηριότητας. Με την ανακάλυψη αυτού του τύπου απάτης, η Group-IB ενημέρωσε τον γίγαντα των social media – που δεν έχει καμία σχέση με τις fake δημοσιεύσεις – για την τρέχουσα εκστρατεία.
Διαβάστε επίσης: Facebook: Coding σφάλμα επέτρεπε σε επιτιθέμενους να σβήσουν live videos
Αξίζει να σημειωθεί ότι αυτή η απάτη εντοπίστηκε για πρώτη φορά από το Group-IB DRP το καλοκαίρι του 2020, με αναλυτές DRP από διαφορετικές περιοχές – στην Ασία και την Ευρώπη – να έχουν εντοπίσει ίχνη από την ίδια κακόβουλη εκστρατεία. Έκτοτε, η εκστρατεία αναπτύσσεται συνεχώς. Τον Απρίλιο, ο αριθμός των δημοσιεύσεων στο Facebook που καλούσαν τους χρήστες να εγκαταστήσουν την «τελευταία ενημέρωση του Messenger» έφτασε τις 5.700. Για να τραβήξουν την προσοχή των χρηστών, οι απατεώνες χρησιμοποιούν λογαριασμούς με ονόματα που «πλαστογραφούν» την πραγματική εφαρμογή – Messanger, Meseenger, Masssengar και άλλα – χρησιμοποιώντας παράλληλα το επίσημο λογότυπο του Facebook Messenger ως εικόνα προφίλ τους.
Για να παρακάμψουν τα φίλτρα απάτης, οι απατεώνες χρησιμοποιούν shortened links που δημιουργήθηκαν με τη βοήθεια υπηρεσιών όπως τα linktr.ee, bit.ly, cutt.us, cutt.ly και rb.gy. Αφού κάνει ο χρήστης κλικ στο link που υποτίθεται ότι οδηγεί στη λήψη της ενημερωμένης έκδοσης της εφαρμογής, μεταφέρεται σε έναν ψεύτικο ιστότοπο του Facebook Messenger με μια φόρμα σύνδεσης, όπου του ζητείται να εισάγει τα credentials του. Οι απατεώνες χρησιμοποιούν πλατφόρμες όπως τα blogspot.com, sites.google.com, github.io και godaddysites.com για την εγγραφή fake σελίδων σύνδεσης Facebook Messenger.
Δείτε ακόμη: Tech support scammers στοχεύουν πελάτες των Microsoft/McAfee με fake ανανεώσεις συνδρομής
Προκειμένου να δελεάσουν τους χρήστες να κάνουν κλικ στο link, οι απατεώνες έχουν δώσει στην εφαρμογή κάποιες ανύπαρκτες λειτουργίες, όπως τη δυνατότητα να ανακαλύψουν ποιος επισκέφτηκε το προφίλ τους και να δoυν τα μηνύματα που διαγράφηκαν ή τους προσφέρθηκε ακόμη η δυνατότητα να μεταβούν στο Gold Messenger. Οι απατεώνες χρησιμοποιούν ακόμη και εκβιασμό για να αναγκάσουν τους χρήστες να κατεβάσουν την εφαρμογή, ενώ ακόμη τους απειλούν ότι αν δεν εγγραφούν στη fake σελίδα, ο λογαριασμός τους θα διαγραφεί για πάντα.
Οι αναλυτές της Group-IB βρήκαν «δόλιες» διαφημίσεις που στοχεύουν χρήστες σε τουλάχιστον 84 χώρες παγκοσμίως, συμπεριλαμβανομένου του Καναδά, των ΗΠΑ, της Γαλλίας, της Γερμανίας, της Ιταλίας, της Σιγκαπούρης, της Μαλαισίας και της Νότιας Αφρικής. Οι χρήστες που έπεσαν θύματα αυτής της απάτης κινδυνεύουν να δουν τα προσωπικά τους δεδομένα να διαρρέουν και τους λογαριασμούς τους να παραβιάζονται. Οι απατεώνες, με τη σειρά τους, είναι πιθανό να χρησιμοποιήσουν τους παραβιασμένους λογαριασμούς είτε για να εκβιάσουν τα θύματα, ωθώντας τους να πληρώσουν λύτρα για να μπορέσουν να αποκτήσουν πάλι πρόσβαση στους λογαριασμούς τους, είτε να αυξήσουν περαιτέρω το σχέδιο χρησιμοποιώντας Facebook προφίλ για τη διανομή διαφημίσεων απάτης.
Πρόταση: Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!
Η Group-IB καλεί τους χρήστες να παραμείνουν σε εγρήγορση και να ακολουθήσουν ορισμένους βασικούς κανόνες «υγιεινής» στον κυβερνοχώρο που θα τους βοηθήσουν να μην πέσουν θύματα των κυβερνοεγκληματιών. Οι χρήστες πρέπει να είναι ιδιαίτερα προσεκτικοί όταν ανοίγουν links. Επιπλέον, δεν πρέπει να εισάγουν ποτέ προσωπικά δεδομένα σε ιστότοπους στους οποίους έφτασαν από third-party πόρους, ακόμα κι αν έχουν λογότυπα γνωστών brands. Θα πρέπει να εισάγουν τα credentials σύνδεσής τους μόνο στον επίσημο ιστότοπο του κοινωνικού δικτύου/της υπηρεσίας ή στην επίσημη εφαρμογή. Αξίζει επίσης να δοθεί προσοχή στο domain της σελίδας που επισκέπτονται – οι απατεώνες χρησιμοποιούν συχνά ονόματα domains με ορθογραφικά λάθη, όπως συνέβη με το Facebook Messenger.
Πηγή πληροφοριών: securityaffairs.co
