A csalók új módot találtak ki arra, hogy megpróbálják megkerülni a Facebook kétfaktoros hitelesítési (2FA) védelmét.
A számítógépes bűnözők hamis, szerzői jogi jogsértésről szóló értesítéseket küldenek azzal a fenyegetéssel, hogy az oldalakat eltávolítják, ha a felhasználó nem próbál fellebbezni. A “fellebbezés” első lépése? A Sophos kutatója, Paul Ducklin szerint az áldozatot arra kérik, hogy küldjön be egy felhasználónevet, jelszót és 2FA-kódot a mobileszközéről, ami lehetővé teszi a csalók számára a 2FA megkerülését.
A 2FA a felhasználónevet és jelszót kiegészítő védelmi réteg, amely általában egy egyedi kód küldését jelenti a mobileszközre, amelyet be kell írni a platformhoz való hozzáféréshez. De a csalók egyre gyakrabban találnak módot ennek megkerülésére.
Ducklin egy nemrégiben megjelent, az eredményeiről szóló bejegyzésében kifejtette, hogy a Sophos rendszeresen kap a közösségi médián keresztül szerzői jogokat sértő csaló e-maileket, de ez a mostani azzal tűnt ki, hogy hihető támadást indított a Facebookon létrehozott hamis oldalak segítségével, ami az adathalász e-maileknek a legitimitás látszatát keltette.
“Ezen taktikák egyike sem új – ez a csalás csak egy érdekes és informatív kombináció volt” – írta Ducklin a Threatpostnak az eredményeiről szóló e-mailben. “Először is, az e-mail rövid és egyszerű; másodszor, az e-mailben lévő link egy legitim oldalra, nevezetesen a Facebookra vezet; harmadszor, a munkafolyamat az átverési oldalon meglepően hihető.”
A hamis Facebook e-mailek nyomokat kínálnak arra, hogy nem törvényesek, de Ducklin rámutat, hogy ez elég meggyőző ahhoz, hogy a közösségi média adminisztrátorokat arra ösztönözze, hogy több információt akarjanak gyűjteni a feltételezett szerzői jogsértési panaszokról, ami az e-mailben lévő adathalász linkre való kattintást jelenti.
Az e-mail üzenete azzal fenyeget, hogy törlik az áldozat oldalát, hacsak nem nyújtanak be fellebbezést 24 órán belül.
“Látni fogja, amikor a ‘tovább’ fölé mozdul, valóban a facebook.com-ra kerül” – mondta. “A bökkenő az, hogy a Facebook-cím a csalárd oldal, amelyet úgy állítottak be, hogy úgy nézzen ki, mint egy hivatalos Facebook-oldal, amely a szerzői jogok megsértésével kapcsolatos ügyek kezelésére szolgál.”
Az onnan kiindulva, bár a linkelt szöveg úgy néz ki, hogy a kattintásokat egy másik Facebook-oldalra küldik – állítólag azért, hogy az áldozatok “fellebbezést” nyújthassanak be – Ducklin megnézte és megállapította, hogy a cél URL-címe eltér a linkelt szövegtől. Ehelyett egy .CF domainre küldi az áldozatot, amelynek székhelye a Közép-afrikai Köztársaságban található.
“Ez egy régi trükk, amelyet a csalók – és még néhány legitim webhely is – használnak” – tette hozzá Ducklin.
A webhelyet ideiglenesen egy felhőalapú webtárhely-szolgáltatáson állították be, amely HTTPS tanúsítványt generál, amint a webhely online van, ami egy kicsit nehezebbé teszi a felderítést – tette hozzá.
“A tanúsítvány érvényessége ma éjfélkor kezdődött, és az átverésről szóló e-mail 01:53 UTC-kor érkezett hozzánk, ami Amerika nyugati partján kora este, a keleti parton pedig késő este van” – írta Ducklin. “Mint látható, a kibercsalók gyorsan mozognak!”
Az oldalon a felhasználóknak meg kellett adniuk a jelszavukat, kétszer, belépniük a Facebook alkalmazásba a mobileszközükön, és be kellett írniuk a 2FA kódot, amely az alkalmazás “Beállítások & Adatvédelem > Kódgenerátor” részében található. Ducklin azt írta, ez azt eredményezheti, hogy “potenciálisan egyszeri esélyt adhat nekik arra, hogy Önként jelentkezzenek be, közvetlenül a szerverükről, még akkor is, ha engedélyezve van a 2FA.”
Amint hozzáférnek az áldozat Facebook hitelesítő adataihoz, a támadók eladhatják az információt a sötét weben, felhasználhatják oldalak eltérítésére vagy leállítására, felhasználói adatokat tarthatnak váltságdíjért, vagy akár csalárd alkalmazáson belüli vásárlásokat is végezhetnek.
A Facebook válaszolt a Threatpost megkeresésére, és közölte, hogy a vállalat azt javasolja, hogy legyenek óvatosak és ne kattintsanak semmilyen gyanús linkre, és hozzátette, hogy ha egy felhasználót mégis feltörnek, a facebook.com/hacked oldalon segítséget kaphatnak fiókjuk védelméhez. A vállalat hozzátette, hogy elsődleges biztonsági módszerként egy harmadik féltől származó hitelesítő alkalmazás használatát ajánlják. A Facebook egy listát is összeállított azokról a tippekről, amelyekkel elkerülhetők az adathalászkísérletek a platformján.
Megromlott a 2FA?
A 2FA megkerülése aggasztó trendként jelent meg.
A Rampant Kitten nevű kiberbűnözői csoportról éppen a múlt hónapban derült ki, hogy több évnyi észrevétlen működés után olyan androidos kártevőt fejlesztett ki, amely a Telegram bejelentkezési adatok mellett az eszközökre küldött 2FA biztonsági kódokat is összegyűjti, miközben Google adathalász támadásokat indít.
Nagyjából ugyanebben az időben egy “Alien” nevű trójai a bankokat célozta meg egy újszerű értesítési szimatolóval, amely lehetővé tette a csalók számára, hogy hozzáférjenek az új eszközfrissítésekhez, beleértve a 2FA-kódokat is, hogy megkerüljék a védelmet.
Májusban egy másik támadás az Office 365 ellen megpróbálta becsapni a felhasználókat, hogy engedélyeket adjanak egy szélhámos alkalmazásnak, amely így megkerülte a 2FA-védelmet.
A 2FA megsértésének listája folytatódik. Továbbra is a felhasználókon múlik, hogy ne dőljenek be az ilyen típusú adathalász csalásoknak. Ducklin hozzátette, hogy a webszűrő használata és a bejelentkezési adatokat kérő e-mailek elkerülése szintén követendő irányelvek.
“A 2FA soha nem volt olyan csodafegyver, amely megszünteti az adathalászatot és a csalást – de megnehezíti a csalók dolgát, és még egy lehetőséget ad arra, hogy bejelentkezéskor megálljon és elgondolkodjon: “Tényleg be akarom adni a jelszavam és a belépési kódom *ezen az oldalon*?”. mondta Ducklin. Mindig ellenőrizze, honnan jöttek az e-mailek, és hová vezettek a weblinkek – mert az egyetlen dolog, ami rosszabb annál, hogy átverik, az az, hogy átverik, és aztán rájönnek, hogy az árulkodó jelek végig ott voltak.”
Hozzátette: “Ahogy minden ács mondja: kétszer mérj, egyszer vágj.”