Nowy phishing wycelowany w użytkowników platformy Meta

•

Dostałem linka phishingowego od... Instagrama (naprawdę!) 🤔 Nawet z ciekawości sprawdziłem, gdzie on prowadzi. Typowa próba przejęcia konta. Jak to możliwe, że platforma rozsyła phishing do swoich użytkowników? Czytaj dalej 🧵 ↓

Zacząłem od weryfikacji nagłówków mailowych. Normalnie to pierwszy krok przy phishingu - sprawdzasz, czy mail naprawdę pochodzi od nadawcy. Tym razem wszystko się zgadzało: ✓ SPF poprawny ✓ DKIM podpisany ✓ IP nadawcy należy do Meta To NIE był sfałszowany mail.

Jak więc atakujący wykorzystują Instagrama do rozsyłania phishingu? Sekret leży w kreatywności w nazywaniu kont na IG oraz w zachowaniu aplikacji do czytania maili (u mnie to Gmail). Po połączeniu tych dwóch mocy powstaje phishing, który nigdy nie wpadnie do spamu.

Na Instagramie możesz założyć konto o dość dowolnej nazwie. A co się stanie, gdy nazwiesz konto: zweryfikuj_swoje_konto.HAX00R.ru? Aplikacje do czytania maili automatycznie przerabiają taką nazwę na klikalny link. I tu zaczyna się problem.

Schemat ataku: 1. Atakujący zakłada konto z nazwą wyglądającą jak domena 2. Dodaje TWÓJ adres mail jako współwłaściciela konta 3. Instagram wysyła Ci prawdziwy mail z prośbą o potwierdzenie 4. Ty nie masz jak potwierdzić konta, bo nie znasz agresora i nie podasz mu kodu 🤷‍♂️

Dostajesz więc kod weryfikacyjny, ale nie ma żadnego przycisku do kliknięcia. Kod wpisuje się w aplikacji. Tutaj może pojawić się naturalny odruch - klikniesz w jedyną klikalną rzecz w całej wiadomości. W nazwę użytkownika!

Sam fakt otrzymania takiego maila NIE oznacza, że ktoś przejął Twoje konto. Oznacza to jedynie, że zna Twój adres mailowy. Mail, na który ja dostałem phishing, to NIE jest mój mail podpięty do którejkolwiek z usług Meta. To mój "łapacz phishingów" (jak widać - działa 😏).

Co się dzieje po kliknięciu nazwy użytkownika? Otwiera się strona udająca Meta, wpisujesz login i hasło, zatwierdzasz... i nie masz konta. Celem takiego ataku najczęściej jest uruchomienie kampanii reklamowych z Twojego konta i Twojej karty.

Atakowani są tylko właściciele stron na Facebooku, którzy odpalają reklamy. Dzięki temu agresor ma pewność, że ofiara ma konto reklamowe, zweryfikowała je i ma podpiętą kartę do systemu płatności. Jako prywatna osoba publikująca zdjęcia kotów nie masz się czego obawiać.

Jak się bronić? Czytaj maile, które otrzymujesz - ale tak dokładnie! To, że klikalny link zaczyna się od słów "zweryfikuj_swoje_konto" (znaków podkreślenia nie widać w podkreślonym linku), to nie znaczy, że tej linijki tekstu nie trzeba przeczytać do końca - tam jest DOMENA!

Jako użytkownik Google Workspace zostałem o tym ataku powiadomiony... Dostałem powiadomienie 10 dni (przeczytaj to jeszcze raz! 10 DNI!) po otrzymaniu phishingu, że ta wiadomość była niebezpieczna. Uważaj na siebie, bo te ataki stają się coraz bardziej pomysłowe.