‘Copyright Violation’-meddelelser fører til omgåelse af Facebook 2FA

Written by on in Articles

Svindlere har fundet en ny måde at forsøge at omgå to-faktor-autentifikationsbeskyttelsen (2FA) på Facebook.

Cyberkriminelle sender falske meddelelser om krænkelse af ophavsretten med truslen om at fjerne sider, medmindre brugeren forsøger at appellere. Det første skridt i “appellen”? Offeret bliver bedt om at indsende et brugernavn, en adgangskode og en 2FA-kode fra sin mobilenhed, ifølge Sophos-forsker Paul Ducklin, hvilket gør det muligt for svindlere at omgå 2FA.

2FA er et ekstra beskyttelseslag oven på et brugernavn og en adgangskode, som normalt indebærer, at der sendes en unik kode til en mobilenhed, som skal indtastes for at få adgang til en platform. Men svindlere finder i stigende grad måder at omgå det på.

Ducklin forklarede i et nyligt indlæg om sine resultater, at Sophos regelmæssigt modtager e-mails om svindel med krænkelse af ophavsret på sociale medier, men denne svindel adskilte sig ved at lancere et plausibelt angreb ved hjælp af svigagtige sider genereret på Facebook, hvilket gav deres phishing-e-mails et ekstra skær af legitimitet.

“Ingen af disse taktikker er nye – denne svindel var bare en interessant og informativ kombination”, skrev Ducklin til Threatpost i en e-mail om sine resultater. “For det første er e-mailen kort og enkel; for det andet går linket i e-mailen til et legitimt websted, nemlig Facebook; for det tredje er arbejdsgangen på svindelwebstedet overraskende troværdig.”

De falske Facebook-e-mails tilbyder spor om, at de ikke er lovlige, men Ducklin påpeger, at det er overbevisende nok til at lokke administratorer af sociale medier til at ville indsamle flere oplysninger om de påståede klager over krænkelser af ophavsretten, hvilket betyder, at man skal klikke på phishing-linket i e-mailen.

E-mailens besked truer med at slette offerets side, medmindre der indgives en klage inden for 24 timer.

“Du vil se, at når du holder musen over ‘fortsæt’, bliver du faktisk ført til facebook.com,” siger han. “Fangsten er, at Facebook-adressen er den bedrageriske side, der er sat op til at ligne en officiel Facebook-side, der er dedikeret til at håndtere problemer med krænkelser af ophavsretten.”

Derfra, selv om den linkede tekst ser ud som om klik sendes til en anden Facebook-side – angiveligt så ofrene kan indgive en “appel” – så Ducklin efter og fandt ud af, at mål-URL’en er forskellig fra den linkede tekst. Den sender i stedet ofret til et .CF-domæne med base i Den Centralafrikanske Republik.

“Det er et gammelt trick, der bruges af svindlere – og endda af nogle legitime websteder,” tilføjede Ducklin.

Siden blev oprettet midlertidigt på en cloud-webhosting-tjeneste, som genererer et HTTPS-certifikat, når siden er online, hvilket gør detektionen lidt vanskeligere, tilføjede han.

“Certifikatets gyldighed startede ved midnat i dag, og den fidus-e-mail, vi modtog, ankom kl. 01:53 UTC, hvilket er tidlig aften på den amerikanske vestkyst og sen aften på østkysten,” skrev Ducklin. “Som du kan se, bevæger cyberkriminelle sig hurtigt!”

Når de var inde på webstedet, blev brugerne bedt om at indtaste deres adgangskode, to gange, få adgang til Facebook-appen på deres mobilenhed og indtaste 2FA-koden, som findes i afsnittet “Settings & Privacy > Code Generator” i appen. Ducklin skrev, at dette kunne resultere i “potentielt at give dem en engangs chance for at logge ind som dig, direkte fra deres server, selv om du har 2FA aktiveret.”

Når de har adgang til et offers Facebook-oplysninger, kan angriberne sælge oplysningerne på det mørke net, bruge dem til at kapre eller nedlægge sider, holde brugerdata for løsepenge eller endda foretage svigagtige køb i appen.

Facebook svarede på Threatposts anmodning om en kommentar og sagde, at virksomheden anbefaler, at man er forsigtig med ikke at klikke på mistænkelige links, og tilføjede, at hvis en bruger bliver hacket, kan vedkommende få hjælp til at sikre sin konto på facebook.com/hacked. Virksomheden tilføjede, at de anbefaler at bruge en authenticator-app fra en tredjepart som en primær sikkerhedsmetode. Facebook har også en liste med tips til at undgå phishing-forsøg på sin platform.

Er 2FA ødelagt?

Bypassing 2FA er opstået som en foruroligende tendens.

Den cyberkriminelle gruppe Rampant Kitten blev så sent som i sidste måned opdaget, efter at have opereret uopdaget i årevis, at have udviklet Android-malware, der indsamler 2FA-sikkerhedskoder, der sendes til enheder ud over Telegram-loginoplysninger, mens de lancerer Google phishing-angreb.

Omtrent samtidig var en trojansk hest kaldet “Alien” rettet mod banker med en ny notifikationssniffer, som gav svindlere mulighed for at få adgang til nye enhedsopdateringer, herunder 2FA-koder, for at omgå beskyttelsen.

I maj forsøgte et andet angreb på Office 365 at narre brugere til at give tilladelser til en useriøs applikation, som derefter ville omgå 2FA-beskyttelsen.

Listen over 2FA-overtrædelser fortsætter. Det er fortsat op til brugeren at sørge for, at han/hun ikke falder for disse typer phishing-svindelnumre. Ducklin tilføjede, at det også er en god politik at bruge et webfilter og undgå anmodninger om loginoplysninger pr. e-mail.

“2FA har aldrig været en sølvkugle, der vil eliminere phishing og svindel – men det gør det sværere for svindlerne, og det giver dig endnu en mulighed for at stoppe op og tænke, når du logger ind: ‘Har jeg virkelig lyst til at indtaste min adgangskode og min login-kode *på netop dette websted*?” sagde Ducklin. Kontroller altid, hvor e-mails kommer fra, og hvor weblinks har ført dig hen – for det eneste, der er værre end at blive snydt, er at blive snydt og så indse, at de afslørende tegn var der hele tiden.”

Han tilføjede: “Som enhver tømrer vil sige til dig: mål to gange, skær én gang.”

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.