Une nouvelle campagne de phishing utilise les publications Facebook dans le cadre de sa chaîne d’attaque pour inciter les utilisateurs à donner leurs informations d’identification de compte et leurs informations personnelles identifiables (PII).
Les e-mails envoyés aux cibles prétendent être un problème de violation du droit d’auteur sur l’un des messages Facebook du destinataire, avertissant que son compte sera supprimé dans les 48 heures si aucun appel n’est déposé.
.png)
Le lien pour faire appel de la suppression du compte est un véritable message Facebook sur facebook.com, aidant les pirates à contourner les solutions de sécurité des e-mails et à s’assurer que leurs messages de phishing atterrissent dans la boîte de réception de la cible.
La publication Facebook prétend être « Page Support », en utilisant un logo Facebook pour apparaître comme si l’entreprise la gérait.
Cependant, ce message inclut un lien vers un site de phishing externe nommé d’après Meta, la société propriétaire de Facebook, afin de réduire légèrement les chances que les victimes réalisent l’arnaque.
Les analystes de Trustwave qui ont découvert la campagne de phishing ont trouvé les trois URL suivantes, qui restent en ligne au moment de la rédaction.
- meta(.)forbusinessuser(.)xyz/?fbclid=123
- meta(.)forbusinessuser(.)xyz/main(.)php
- meta(.)forbusinessuser(.)xyz/checkpoint(.)php
Les sites de phishing sont conçus avec soin pour les faire apparaître comme la véritable page d’appel sur les droits d’auteur de Facebook, contenant un formulaire dans lequel les victimes sont invitées à saisir leur nom complet, leur adresse e-mail, leur numéro de téléphone et leur nom d’utilisateur Facebook.
Lors de la soumission de ces données, la page collecte également l’adresse IP et les informations de géolocalisation de la victime et exfiltre le tout vers un compte Telegram sous le contrôle de l’acteur de la menace.
Les acteurs de la menace peuvent collecter les informations supplémentaires pour contourner les protections d’empreintes digitales ou les questions de sécurité tout en prenant le contrôle du compte Facebook de la victime.
Pendant ce temps, une redirection amène la victime à la page de phishing suivante, qui affiche une fausse demande de mot de passe à usage unique (OTP) à 6 chiffres avec une minuterie.
.png)
Quel que soit le code entré par la victime, cela entraînera une erreur, et si le message « Besoin d’un autre moyen pour s’authentifier ? » est cliqué, le site redirige vers le site Facebook réel.
Les analystes de Trustwave ont également découvert que les pirates utilisent Google Analytics sur leurs pages de phishing pour les aider à suivre l’efficacité de leurs campagnes.
Technique généralisée
Trustwave rapporte qu’il a trouvé de nombreux comptes Facebook utilisant de fausses publications conçues pour apparaître comme des pages d’assistance qui conduisent les victimes vers des sites Web de phishing.
Ces messages utilisent des raccourcisseurs d’URL pour créer des liens vers des sites de phishing afin d’éviter d’être signalés et supprimés par la plate-forme de médias sociaux.
Les victimes peuvent atterrir sur ces publications via des e-mails de phishing, comme dans la campagne présentée dans ce rapport, ou via des messages instantanés reçus sur Facebook.
[ad_3]