Une attaque de phishing utilise les publications Facebook pour échapper à la sécurité des e-mails – Systeme.io


Facebook

Une nouvelle campagne de phishing utilise les publications Facebook dans le cadre de sa chaîne d’attaque pour inciter les utilisateurs à donner leurs informations d’identification de compte et leurs informations personnelles identifiables (PII).

Les e-mails envoyés aux cibles prétendent être un problème de violation du droit d’auteur sur l’un des messages Facebook du destinataire, avertissant que son compte sera supprimé dans les 48 heures si aucun appel n’est déposé.

E-mail de phishing envoyé aux cibles
E-mail de phishing envoyé aux cibles (Onde de confiance)

Le lien pour faire appel de la suppression du compte est un véritable message Facebook sur facebook.com, aidant les pirates à contourner les solutions de sécurité des e-mails et à s’assurer que leurs messages de phishing atterrissent dans la boîte de réception de la cible.

La publication Facebook prétend être « Page Support », en utilisant un logo Facebook pour apparaître comme si l’entreprise la gérait.

Une publication Facebook déguisée en page d'assistance
Une publication Facebook déguisée en page d’assistance (Onde de confiance)

Cependant, ce message inclut un lien vers un site de phishing externe nommé d’après Meta, la société propriétaire de Facebook, afin de réduire légèrement les chances que les victimes réalisent l’arnaque.

Les analystes de Trustwave qui ont découvert la campagne de phishing ont trouvé les trois URL suivantes, qui restent en ligne au moment de la rédaction.

  • meta(.)forbusinessuser(.)xyz/?fbclid=123
  • meta(.)forbusinessuser(.)xyz/main(.)php
  • meta(.)forbusinessuser(.)xyz/checkpoint(.)php

Les sites de phishing sont conçus avec soin pour les faire apparaître comme la véritable page d’appel sur les droits d’auteur de Facebook, contenant un formulaire dans lequel les victimes sont invitées à saisir leur nom complet, leur adresse e-mail, leur numéro de téléphone et leur nom d’utilisateur Facebook.

La page de destination du phishing imite le centre d'aide de Facebook
La page de destination du phishing imite le centre d’aide de Facebook (Onde de confiance)

Lors de la soumission de ces données, la page collecte également l’adresse IP et les informations de géolocalisation de la victime et exfiltre le tout vers un compte Telegram sous le contrôle de l’acteur de la menace.

Les acteurs de la menace peuvent collecter les informations supplémentaires pour contourner les protections d’empreintes digitales ou les questions de sécurité tout en prenant le contrôle du compte Facebook de la victime.

Pendant ce temps, une redirection amène la victime à la page de phishing suivante, qui affiche une fausse demande de mot de passe à usage unique (OTP) à 6 chiffres avec une minuterie.

Étape Bogus 2FA sur le site de phishing
Étape Bogus 2FA sur le site de phishing (Onde de confiance)

Quel que soit le code entré par la victime, cela entraînera une erreur, et si le message « Besoin d’un autre moyen pour s’authentifier ? » est cliqué, le site redirige vers le site Facebook réel.

Les analystes de Trustwave ont également découvert que les pirates utilisent Google Analytics sur leurs pages de phishing pour les aider à suivre l’efficacité de leurs campagnes.

Technique généralisée

Trustwave rapporte qu’il a trouvé de nombreux comptes Facebook utilisant de fausses publications conçues pour apparaître comme des pages d’assistance qui conduisent les victimes vers des sites Web de phishing.

Divers comptes Facebook faisant la promotion des mêmes fausses alertes
Divers comptes Facebook faisant la promotion des mêmes fausses alertes (Onde de confiance)

Ces messages utilisent des raccourcisseurs d’URL pour créer des liens vers des sites de phishing afin d’éviter d’être signalés et supprimés par la plate-forme de médias sociaux.

Les victimes peuvent atterrir sur ces publications via des e-mails de phishing, comme dans la campagne présentée dans ce rapport, ou via des messages instantanés reçus sur Facebook.

[ad_3]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *