Jako właściciel firmowego fanpage na FB, phishingi dostaję średnio co 1-2 dni, ale ostatnio otrzymałem naprawdę sprytnie przygotowany atak 😏
Dzielę się tym, ponieważ jest szansa, że ktoś się na ten atak złapie 🪝
Moja krótka analiza 🧵 ↓
Do tej pory 100% ataków dostawałem przez messengera.
Zacząłem je więc usuwać nawet bez czytania zawartości.
Tym razem była to wiadomość wysłana do mnie mailem i to... od samego Facebooka 🤔
Wiadomość pochodziła z adresu notification@facebookmail.com.
Nagłówki maila potwierdzają, że SPF i DKIM są poprawne, a wiadomość faktycznie wyszła z serwerów FB.
Stopka była OK, komunikaty też OK, ale w treści był link do strony phishingowej 😐
Co było dobrze zrobione w phishingu?
✅ Mail naprawdę pochodził od Facebooka
✅ Wyglądał jak wiele innych maili, które otrzymuję z tej platformy
✅ Informował mnie "your Page is at risk!", więc zachęcał do podjęcia akcji
Co wyglądało podejrzanie?
❌ Tytuł maila nijak nie odzwierciedla treści
❌ Wiadomość wysłano na adres mailowy mojej firmy, a nie na adres przypisany do Facebooka! 🚨
❌ Typowa, phishingowa domena zawarta w treści maila
❌ Dziesiątki nowych linii umieszczone na końcu treści
Po pierwsze, tytuł wiadomości informuje mnie o chęci nawiązania współpracy biznesowej. Tymczasem w treści czytam "your Page is at risk!".
Wniosek?
Do wysłania wiadomości agresor posłużył się mechanizmem do nawiązywania współprac biznesowych i wrzucił tam treść ataku.
Znam maile od Business Managera i wiem, że zaczynają się one od:
Hi, $FIRST_NAME
Tym razem widniało tam powitanie:
Hi, your Page is at risk!
Bardzo sympatyczne powiadomienie usera, że dostanie bana 😃
Wysyłając prośbę o współpracę, można zdefiniować imię/nazwę odbiorcy.
Wygląda na to, ktoś po prostu ustawił moje imię na podaną frazę, co uwiarygodniało pretekst z dalszej części wiadomości.
Poniżej powitania znajdowała się jednak standardowa wstawka, ale kto to czyta? ;)
Pod wspomnianą wstawką znajdował się napis:
Facebook Appeal Here : [tutaj link phishingowy]
Jakim cudem ktoś to tam wkleił?
Metoda jest banalnie prosta — trzeba tylko nazwać swój Fanpage... "Facebook Appeal Here" i gotowe 🤷♂️😃
Poniżej niebezpiecznego linka znajdowała się wiadomość od 'partnera biznesowego'.
Ma ona format:
"A message from {$FANPAGE_NAME}"
Tutaj trudno to pokazać, ale pod wiadomością znajdowały się znaki nowej linii w ilości kilkudziesięciu sztuk.
Celem tego zabiegu było obniżenie tak nisko przycisku do przejścia do requesta od Facebooka, jak to tylko możliwe, przez co ofiara widzi tylko URL-a do phishingu.
🚨 Warto ostrzec swoich znajomych o tym nowym przekręcie.
Do ataków przez messengera już się każdy przyzwyczaił (zwłaszcza ci, którzy potracili swoje konta 😢), ale ataki mailowe i to na tyle dopracowane to nowość.
Tak przy okazji, jeśli jesteś twórcą aplikacji webowych, to upewnij się, że w swoim systemie nie masz formularzy, które umożliwiają wysłanie wiadomości o dowolnej treści pod dowolny adres mailowy z Twojej domeny.
Podobny problem rok temu miał też PayPal:
its.weill.cornell.edu/news/paypal-scam-using-money-request-notifications
Kilka porad
1️⃣ Sprawdź, czy mail trafił na adres powiązany z FB, czy 'ogólny/firmowy'
2️⃣ Przeczytaj CAŁEGO maila! Często jest tam info w stylu "wiadomość dołączona przez usera:"
3️⃣ Facebook nie linkuje do cudzych domen
4️⃣ Sprawdź, czy treść pasuje do tematu 🤷♂️