Hyökkääjät ovat keksineet uuden tavan yrittää ohittaa Facebookin 2FA-suojaukset.

Verkkorikolliset lähettävät tekaistuja tekijänoikeusrikkomusilmoituksia ja uhkaavat poistaa sivut, ellei käyttäjä yritä valittaa. Ensimmäinen askel ”valituksessa”? Uhria pyydetään Sophosin tutkijan Paul Ducklinin mukaan lähettämään käyttäjätunnus, salasana ja 2FA-koodi mobiililaitteestaan, jolloin huijarit voivat ohittaa 2FA:n.

2FA on käyttäjätunnuksen ja salasanan päälle lisätty suojauskerros, jossa yleensä lähetetään mobiililaitteeseen yksilöllinen koodi, joka on syötettävä alustalle pääsemiseksi. Mutta huijarit keksivät yhä useammin keinoja kiertää se.

Ducklin selitti äskettäisessä havainnoistaan kertovassa kirjoituksessaan, että Sophos saa säännöllisesti sosiaalisen median tekijänoikeusrikkomuksia käsitteleviä huijaussähköposteja, mutta tämä erottautui toisistaan käynnistämällä uskottavan hyökkäyksen, jossa käytettiin Facebookissa luotuja vilpillisiä sivuja, mikä antoi heidän phishing-sähköposteilleen lisälegitimiteettiä.

”Yksikään näistä taktiikoista ei ole uusi – tämä huijaus oli vain mielenkiintoinen ja informatiivinen yhdistelmä”, Ducklin kirjoittaa havaintojaan käsittelevässä sähköpostiviestissään Threatpostin sähköpostitse. ”Ensinnäkin sähköposti on lyhyt ja yksinkertainen, toiseksi sähköpostissa oleva linkki johtaa lailliselle sivustolle, nimittäin Facebookiin, ja kolmanneksi huijaussivuston työnkulku on yllättävän uskottava.”

Väärennetyt Facebook-sähköpostiviestit antavat viitteitä siitä, etteivät ne ole laillisia, mutta Ducklin huomauttaa, että se on tarpeeksi vakuuttavaa houkutellakseen sosiaalisen median ylläpitäjiä keräämään lisätietoja väitetyistä tekijänoikeusrikkomusvalituksista, mikä tarkoittaa sähköpostiviestin phishing-linkin klikkaamista.

Sähköpostin viestissä uhataan poistaa uhrin sivu, ellei valitusta jätetä 24 tunnin kuluessa.

”Näet, kun viet hiiren ”jatka” -kohdan päälle, se todellakin vie sinut facebook.com-sivustolle”, hän sanoo. ”Juju on siinä, että Facebook-osoite on huijaussivu, joka on perustettu näyttämään viralliselta Facebook-sivulta, joka on omistettu tekijänoikeusrikkomuksiin liittyvien asioiden käsittelyyn.”

Sieltä, vaikka linkitetty teksti näyttääkin siltä, että klikkaukset lähetetään toiselle Facebook-sivulle – muka niin, että uhrit voivat jättää ”valituksen” – Ducklin katsoi ja huomasi, että kohde-URL on eri kuin linkitetty teksti. Sen sijaan se lähettää uhrin Keski-Afrikan tasavallassa sijaitsevalle .CF-verkkotunnukselle.

”Tämä on vanha huijareiden käyttämä temppu – ja jopa joidenkin laillisten sivustojen käyttämä temppu”, Ducklin lisäsi.

Sivusto oli perustettu väliaikaisesti pilvipohjaiseen web-hosting-palveluun, joka luo HTTPS-varmenteen heti, kun sivusto on verkossa, mikä tekee sen havaitsemisesta hieman hankalampaa, Ducklin lisäsi.

”Varmenteen voimassaolo alkoi tänään keskiyöllä, ja saamamme huijaussähköposti saapui kello 01:53 UTC, mikä on aikaisin illalla Amerikan länsirannikolla ja myöhään illalla itärannikolla”, Ducklin kirjoitti. ”Kuten näette, kyberroistot liikkuvat nopeasti!”

Sivustolle päästyään käyttäjiä pyydettiin syöttämään salasanansa kahdesti, avaamaan Facebook-sovellus mobiililaitteellaan ja syöttämään 2FA-koodi, joka löytyy sovelluksen ”Asetukset & Tietosuoja > Koodigeneraattori” -osiosta. Ducklin kirjoitti, että tämä voi johtaa siihen, että ”he voivat mahdollisesti antaa heille kertaluonteisen mahdollisuuden kirjautua sisään sinuna, suoraan heidän palvelimeltaan, vaikka sinulla olisi 2FA käytössä.”

Kun he pääsevät käsiksi uhrin Facebook-tunnuksiin, hyökkääjät voivat myydä tiedot pois pimeässä verkossa, käyttää niitä sivujen kaappaamiseen tai kaatamiseen, pitää käyttäjätietoja lunnaita varten tai jopa tehdä vilpillisiä sovelluksen sisäisiä ostoksia.

Facebook vastasi Threatpostin kommenttipyyntöön ja sanoi, että yhtiö suosittelee olemaan varovainen ja olemaan napsauttamatta epäilyttäviä linkkejä, ja lisäsi, että jos käyttäjä joutuu hakkeroiduksi, hän voi saada apua tilinsä suojaamiseen osoitteessa facebook.com/hacked. Yhtiö lisäsi, että se suosittelee kolmannen osapuolen autentikointisovelluksen käyttämistä ensisijaisena suojausmenetelmänä. Facebookilla on myös lista vinkkejä, joilla voi välttää phishing-yrityksiä sen alustalla.

Onko 2FA rikki?

2FA:n ohittaminen on noussut esiin huolestuttavana trendinä.

Cyberrikollisryhmä Rampant Kitten havaittiin vasta viime kuussa vuosien huomaamattoman toiminnan jälkeen kehittäneen Android-haittaohjelman, joka kerää Telegram-kirjautumistietojen lisäksi laitteisiin lähetettyjä 2FA-turvakoodeja ja käynnistää samalla Google-phishing-hyökkäyksiä.

Samoihin aikoihin ”Alien” -niminen troijalainen kohdistui pankkeihin uudenlaisella ilmoitusten haistelijalla, joka antoi huijareille mahdollisuuden päästä käsiksi uusiin laitepäivityksiin, mukaan lukien 2FA-koodit, suojan ohittamiseksi.

Toukokuussa toinen Office 365:een kohdistunut hyökkäys yritti huijata käyttäjiä myöntämään käyttöoikeuksia roistosovellukselle, joka sitten ohittaisi 2FA:n suojaukset.

Luettelo 2FA:n käyttökelpoisuuteen tehdyistä tietoturvaloukkauksista jatkuu. Käyttäjien tehtäväksi jää varmistaa, etteivät he sorru tämäntyyppisiin phishing-huijauksiin. Ducklin lisäsi, että verkkosuodattimen käyttäminen ja kirjautumistietoja koskevien sähköpostipyyntöjen välttäminen ovat myös hyviä käytäntöjä.

”2FA ei ole koskaan ollut hopealuoti, joka eliminoisi phishingin ja huijaukset – mutta se vaikeuttaa huijareiden toimintaa, ja se antaa yhden lisämahdollisuuden pysähtyä miettimään sisäänkirjautumisen yhteydessä, haluanko todella syöttää salasanani ja kirjautumistunnukseni *juuri tälle sivustolle*.” Ducklin sanoi. Tarkista aina, mistä sähköpostit ovat tulleet ja minne verkkolinkit ovat vieneet sinut – koska ainoa asia, joka on pahempaa kuin huijatuksi tuleminen, on tulla huijatuksi ja sitten huomata, että paljastavat merkit olivat siellä koko ajan.”

Hän lisäsi: ”Kuten kuka tahansa kirvesmies sanoo: mittaa kahdesti, leikkaa kerran.”