Nowy atak phishingowy na Facebooku

•

Jako właściciel firmowego fanpage na FB, phishingi dostaję średnio co 1-2 dni, ale ostatnio otrzymałem naprawdę sprytnie przygotowany atak 😏 Dzielę się tym, ponieważ jest szansa, że ktoś się na ten atak złapie 🪝 Moja krótka analiza 🧵 ↓

Do tej pory 100% ataków dostawałem przez messengera. Zacząłem je więc usuwać nawet bez czytania zawartości. Tym razem była to wiadomość wysłana do mnie mailem i to... od samego Facebooka 🤔

Wiadomość pochodziła z adresu notification@facebookmail.com. Nagłówki maila potwierdzają, że SPF i DKIM są poprawne, a wiadomość faktycznie wyszła z serwerów FB. Stopka była OK, komunikaty też OK, ale w treści był link do strony phishingowej 😐

Co było dobrze zrobione w phishingu? ✅ Mail naprawdę pochodził od Facebooka ✅ Wyglądał jak wiele innych maili, które otrzymuję z tej platformy ✅ Informował mnie "your Page is at risk!", więc zachęcał do podjęcia akcji

Co wyglądało podejrzanie? ❌ Tytuł maila nijak nie odzwierciedla treści ❌ Wiadomość wysłano na adres mailowy mojej firmy, a nie na adres przypisany do Facebooka! 🚨 ❌ Typowa, phishingowa domena zawarta w treści maila ❌ Dziesiątki nowych linii umieszczone na końcu treści

Po pierwsze, tytuł wiadomości informuje mnie o chęci nawiązania współpracy biznesowej. Tymczasem w treści czytam "your Page is at risk!". Wniosek? Do wysłania wiadomości agresor posłużył się mechanizmem do nawiązywania współprac biznesowych i wrzucił tam treść ataku.

Znam maile od Business Managera i wiem, że zaczynają się one od: Hi, $FIRST_NAME Tym razem widniało tam powitanie: Hi, your Page is at risk! Bardzo sympatyczne powiadomienie usera, że dostanie bana 😃

Wysyłając prośbę o współpracę, można zdefiniować imię/nazwę odbiorcy. Wygląda na to, ktoś po prostu ustawił moje imię na podaną frazę, co uwiarygodniało pretekst z dalszej części wiadomości. Poniżej powitania znajdowała się jednak standardowa wstawka, ale kto to czyta? ;)

Pod wspomnianą wstawką znajdował się napis: Facebook Appeal Here : [tutaj link phishingowy] Jakim cudem ktoś to tam wkleił? Metoda jest banalnie prosta — trzeba tylko nazwać swój Fanpage... "Facebook Appeal Here" i gotowe 🤷‍♂️😃

Poniżej niebezpiecznego linka znajdowała się wiadomość od 'partnera biznesowego'. Ma ona format: "A message from {$FANPAGE_NAME}"

Tutaj trudno to pokazać, ale pod wiadomością znajdowały się znaki nowej linii w ilości kilkudziesięciu sztuk. Celem tego zabiegu było obniżenie tak nisko przycisku do przejścia do requesta od Facebooka, jak to tylko możliwe, przez co ofiara widzi tylko URL-a do phishingu.

🚨 Warto ostrzec swoich znajomych o tym nowym przekręcie. Do ataków przez messengera już się każdy przyzwyczaił (zwłaszcza ci, którzy potracili swoje konta 😢), ale ataki mailowe i to na tyle dopracowane to nowość.

Tak przy okazji, jeśli jesteś twórcą aplikacji webowych, to upewnij się, że w swoim systemie nie masz formularzy, które umożliwiają wysłanie wiadomości o dowolnej treści pod dowolny adres mailowy z Twojej domeny. Podobny problem rok temu miał też PayPal: its.weill.cornell.edu/news/paypal-scam-using-money-request-notifications

Kilka porad 1️⃣ Sprawdź, czy mail trafił na adres powiązany z FB, czy 'ogólny/firmowy' 2️⃣ Przeczytaj CAŁEGO maila! Często jest tam info w stylu "wiadomość dołączona przez usera:" 3️⃣ Facebook nie linkuje do cudzych domen 4️⃣ Sprawdź, czy treść pasuje do tematu 🤷‍♂️