Oznámení o porušení autorských práv vedou k obcházení 2FA na Facebooku

Written by on in Articles

Podvodníci vymysleli nový způsob, jak se pokusit obejít dvoufaktorové ověřování (2FA) na Facebooku.

Kyberzločinci rozesílají falešná oznámení o porušení autorských práv s hrozbou stažení stránek, pokud se uživatel nepokusí odvolat. První krok v „odvolání“? Podle výzkumníka společnosti Sophos Paula Ducklina je oběť vyzvána, aby ze svého mobilního zařízení odeslala uživatelské jméno, heslo a kód 2FA, což podvodníkům umožňuje obejít 2FA.

2FA je další vrstva ochrany nad rámec uživatelského jména a hesla, která obvykle zahrnuje zaslání jedinečného kódu do mobilního zařízení, který je nutné zadat pro přístup k platformě. Podvodníci však stále častěji nacházejí způsoby, jak ji obejít.

Ducklin v nedávném příspěvku o svých zjištěních vysvětlil, že společnost Sophos pravidelně dostává podvodné e-maily o porušení autorských práv na sociálních sítích, ale tento se odlišoval tím, že zahájil věrohodný útok pomocí podvodných stránek vytvořených na Facebooku, což jejich phishingovým e-mailům dodalo na legitimitě.

„Žádná z těchto taktik není nová – tento podvod byl jen zajímavou a poučnou kombinací,“ napsal Ducklin v e-mailu Threatpost o svých zjištěních. „Za prvé, e-mail je krátký a jednoduchý; za druhé, odkaz v e-mailu vede na legitimní stránku, konkrétně na Facebook; za třetí, pracovní postup na podvodné stránce je překvapivě věrohodný.“

Falešné e-maily na Facebooku nabízejí vodítka, že nejsou legitimní, ale Ducklin poukazuje na to, že jsou dostatečně přesvědčivé na to, aby přiměly správce sociálních sítí chtít shromáždit více informací o údajných stížnostech na porušení autorských práv, což znamená kliknout na phishingový odkaz v e-mailu.

Zpráva v e-mailu vyhrožuje smazáním stránky oběti, pokud nebude do 24 hodin podáno odvolání.

„Když najedete na ‚pokračovat‘, uvidíte, že vás skutečně zavede na facebook.com,“ řekl. „Háček je v tom, že adresa Facebooku je podvodná stránka nastavená tak, aby vypadala jako oficiální stránka Facebooku určená k řešení problémů s porušováním autorských práv.“

Přestože odkazovaný text vypadá, že kliknutí je odesláno na jinou stránku Facebooku – údajně proto, aby oběti mohly podat „odvolání“ – Ducklin se podíval a zjistil, že cílová adresa URL se liší od odkazovaného textu. Místo toho posílá oběť na doménu .CF se sídlem ve Středoafrické republice.

„To je starý trik, který používají podvodníci – a dokonce i některé legitimní stránky,“ dodal Ducklin.

Stránka byla dočasně zřízena na cloudové webhostingové službě, která generuje certifikát HTTPS, jakmile je stránka online, což trochu ztěžuje její odhalení, dodal.

„Platnost certifikátu začala dnes o půlnoci a podvodný e-mail jsme obdrželi v 01:53 UTC, což je na západním pobřeží Ameriky brzy večer a na východním pobřeží pozdě večer,“ napsal Ducklin. „Jak vidíte, kybernetičtí podvodníci se pohybují rychle!“

Po vstupu na stránky byli uživatelé vyzváni k zadání hesla, a to dvakrát, k přístupu do aplikace Facebook na svém mobilním zařízení a k zadání kódu 2FA, který se nachází v části „Nastavení & Soukromí > Generátor kódu“ v aplikaci. Ducklin napsal, že to může vést k tomu, že „potenciálně dostanou jednorázovou šanci přihlásit se jako vy, přímo z jejich serveru, i když máte povolenou funkci 2FA.“

Jakmile získají přístup k přihlašovacím údajům oběti na Facebooku, mohou útočníci tyto informace prodat na temném webu, použít je k únosu nebo stažení stránek, držet uživatelská data jako výkupné nebo dokonce provádět podvodné nákupy v aplikacích.

Facebook na žádost Threatpostu o komentář odpověděl, že společnost doporučuje být opatrný a neklikat na žádné podezřelé odkazy, a dodal, že pokud se uživatel stane obětí hackerského útoku, může získat pomoc se zabezpečením svého účtu na adrese facebook.com/hacked. Společnost dodala, že jako primární způsob zabezpečení doporučuje používat autentizační aplikaci třetí strany. Facebook také zveřejnil seznam tipů, jak se vyhnout pokusům o phishing na své platformě.

Je 2FA nefunkční?

Obcházení 2FA se ukázalo jako znepokojivý trend.

Kyberzločinecká skupina Rampant Kitten byla teprve minulý měsíc po letech nepozorovaného fungování odhalena, že vyvinula malware pro systém Android, který kromě přihlašovacích údajů do služby Telegram shromažďuje bezpečnostní kódy 2FA zaslané do zařízení a zároveň provádí phishingové útoky na společnost Google.

Přibližně ve stejné době se trojský kůň s názvem „Alien“ zaměřil na banky pomocí nového snifferu oznámení, který podvodníkům umožnil přístup k novým aktualizacím zařízení, včetně kódů 2FA, a obejít tak ochranu.

V květnu se jiný útok na Office 365 pokusil oklamat uživatele, aby udělili oprávnění podvodné aplikaci, která by pak obešla ochranu 2FA.

Seznam narušení 2FA pokračuje. Zůstává na uživateli, aby se ujistil, že těmto typům podvodů nenaletí. Ducklin dodal, že používání webového filtru a vyhýbání se e-mailovým žádostem o přihlašovací údaje jsou také dobré zásady, které je třeba dodržovat.

„2FA nikdy nebylo stříbrnou kulkou, která by eliminovala phishing a podvody – ale podvodníkům to ztěžuje a dává vám o jednu možnost víc, abyste se při přihlašování zastavili a přemýšleli: ‚Opravdu chci zadat své heslo a svůj přihlašovací kód * právě na této stránce*?“ Ducklin řekl. Vždy si ověřte, odkud e-maily přišly a kam vás webové odkazy zavedly – protože jediná věc, která je horší než být podveden, je být podveden a pak si uvědomit, že varovné signály tam byly celou dobu.“

Dodal: „Jak vám řekne každý tesař: dvakrát měř, jednou řež.“

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.