Facebook phishingoperatie ontdekt

Onderzoekers onthulden een grootschalige phishing-operatie gericht op Facebook en Messenger om miljoenen gebruikers te lokken. De gebruikers worden aangetrokken door phishing-pagina’s, van waaruit hun inloggegevens worden gestolen en advertenties worden weergegeven om inkomsten te genereren.

De phishing-operatie
De campagne is actief sinds september 2021 en bereikte een hoogtepunt in april-mei 2022. De gestolen accounts werden gebruikt om verdere phishing-berichten naar hun vrienden te sturen, de campagne exponentieel te promoten en meer inkomsten te genereren door advertenties weer te geven.


Onderzoekers volgden de aanvaller en brachten de campagne in kaart op een van de phishing-pagina’s met een link naar een app voor verkeersmonitoring (whos.amung.us) die toegankelijk was zonder enige authenticatie.
Het is niet bekend hoe de campagne zich aanvankelijk richtte op de slachtoffers. Onderzoekers vermoeden echter dat slachtoffers via een reeks omleidingen van Facebook Messenger op phishing-bestemmingspagina’s zijn beland.
Onderzoekers vonden een gemeenschappelijk codefragment op alle bestemmingspagina’s, waaronder een verwijzing naar een in beslag genomen website en onderdeel van een onderzoek tegen een Colombiaanse man genaamd Rafael Dorado.

Post-infectieproces
Nadat er meer Facebook-accounts waren gestolen, gebruikten de aanvallers geautomatiseerde tools om meer phishing-links naar vrienden van gecompromitteerde accounts te sturen, waardoor het aantal gestolen accounts enorm groeide.
De phishing-berichten maakten gebruik van echte URL-generatieservices (bijv. litch[.]me, famous[.]co, amaze[.]co), die moeilijk te blokkeren zijn met beveiligingsproducten aangezien bekend is dat deze services worden gebruikt door legitieme apps.
Nadat een slachtoffer zijn accountgegevens heeft ingevoerd op de phishing-bestemmingspagina, begint een nieuwe ronde van omleidingen. Deze omleiding brengt slachtoffers onder meer naar advertentiepagina’s en enquêteformulieren.

Aanvullende inzichten
In 2021 bezochten zo’n 2,7 miljoen gebruikers een van de phishing-portals. Dit aantal is dit jaar opgelopen tot 8,5 miljoen.
Verder werden 405 unieke gebruikersnamen gebruikt als campagne-ID’s, elk met een aparte Facebook-phishingpagina.
Aanvankelijk hadden deze phishing-pagina’s 4.000 views, dat is nu gestegen tot miljoenen, terwijl één pagina 6 miljoen views heeft.

Conclusie
De phishing-campagne is nog steeds aan de gang, zelfs nadat de meeste geïdentificeerde URL’s nu offline zijn. Verder is het gebruik van legitieme services om URL-blokkering te omzeilen succesvol gebleken voor aanvallers. Om veilig te blijven, wordt gebruikers aangeraden waakzaam te blijven en two-factorauthenticatie in te schakelen.