Gli avvisi di ‘violazione del copyright’ portano al bypass della 2FA di Facebook

Written by on in Articles

I criminali informatici hanno escogitato un nuovo modo per tentare di bypassare le protezioni di autenticazione a due fattori (2FA) su Facebook.

I criminali informatici stanno inviando avvisi fasulli di violazione del copyright con la minaccia di togliere le pagine a meno che l’utente non tenti di fare ricorso. Il primo passo nel “ricorso? Alla vittima viene chiesto di inviare un nome utente, una password e un codice 2FA dal proprio dispositivo mobile, secondo il ricercatore di Sophos Paul Ducklin, permettendo ai truffatori di bypassare la 2FA.

La 2FA è un ulteriore livello di protezione sopra un nome utente e una password che di solito comporta l’invio di un codice unico a un dispositivo mobile, che deve essere inserito per accedere a una piattaforma. Ma i truffatori stanno trovando sempre più modi per aggirarlo.

Ducklin ha spiegato in un recente post sulle sue scoperte che Sophos riceve regolarmente e-mail di truffa per violazione del copyright sui social media, ma questo si è distinto per aver lanciato un attacco plausibile utilizzando pagine fraudolente generate su Facebook, dando alle loro e-mail di phishing un’ulteriore aria di legittimità.

“Nessuna di queste tattiche è nuova – questa truffa era solo una combinazione interessante e informativa”, ha scritto Ducklin a Threatpost in una e-mail sui suoi risultati. “In primo luogo, l’e-mail è breve e semplice; in secondo luogo, il link nell’e-mail va a un sito legittimo, vale a dire Facebook; in terzo luogo, il flusso di lavoro sul sito della truffa è sorprendentemente credibile.”

Le false e-mail di Facebook offrono indizi che non sono legittime, ma Ducklin sottolinea che è abbastanza convincente per spingere gli amministratori dei social media a voler raccogliere maggiori informazioni sulle denunce di violazione del copyright, il che significa cliccare sul link di phishing nella e-mail.

Il messaggio dell’e-mail minaccia di cancellare la pagina della vittima a meno che non venga presentato un ricorso entro 24 ore.

“Vedrete che quando passate il mouse sul ‘continua’ vi porterà effettivamente a facebook.com”, ha detto. “La fregatura è che l’indirizzo di Facebook è la pagina fraudolenta impostata per sembrare una pagina ufficiale di Facebook dedicata alla gestione dei problemi di violazione del copyright.”

Da lì, anche se il testo collegato sembra che i clic siano inviati a un’altra pagina di Facebook – apparentemente in modo che le vittime possano presentare un “appello” – Ducklin ha guardato e trovato l’URL di destinazione è diverso dal testo collegato. Invece invia la vittima a un dominio .CF con sede nella Repubblica Centrafricana.

“Questo è un vecchio trucco usato dai truffatori – e anche da alcuni siti legittimi”, ha aggiunto Ducklin.

Il sito è stato impostato temporaneamente su un servizio di web hosting cloud, che genera un certificato HTTPS una volta che il sito è online, rendendo il rilevamento un po’ più difficile, ha aggiunto.

“La validità del certificato è iniziata a mezzanotte di oggi, e l’e-mail di truffa che abbiamo ricevuto è arrivata alle 01:53 UTC, che è la sera presto sulla costa occidentale dell’America, e la sera tardi sulla costa orientale”, ha scritto Ducklin. “Come potete vedere, i cybercriminali si muovono velocemente!”

Una volta sul sito, agli utenti è stato chiesto di inserire la loro password, due volte, accedere all’applicazione Facebook sul proprio dispositivo mobile e inserire il codice 2FA, che si trova nella sezione “Impostazioni & Privacy > Generatore di codici” dell’applicazione. Ducklin ha scritto che questo potrebbe risultare in “potenzialmente dando loro una possibilità di accedere come te, direttamente dal loro server, anche se hai abilitato 2FA.”

Una volta che hanno accesso alle credenziali di Facebook di una vittima, gli attaccanti possono vendere le informazioni sul dark web, usarle per dirottare o abbattere pagine, tenere i dati degli utenti per il riscatto o anche fare acquisti in-app fraudolenti.

Facebook ha risposto alla richiesta di commento di Threatpost, dicendo che la società raccomanda di fare attenzione a non cliccare su qualsiasi link sospetto, aggiungendo che se un utente viene violato, può ottenere aiuto per proteggere il proprio account su facebook.com/hacked. L’azienda ha aggiunto che si consiglia di utilizzare un’app di autenticazione di terze parti come metodo di sicurezza principale. Facebook ha anche una lista di consigli per evitare tentativi di phishing sulla sua piattaforma.

Il 2FA è rotto?

L’aggiramento della 2FA è emerso come una tendenza preoccupante.

Il gruppo di criminali informatici Rampant Kitten è stato scoperto solo il mese scorso, dopo anni di funzionamento inosservato, per aver sviluppato un malware Android che raccoglie i codici di sicurezza 2FA inviati ai dispositivi oltre alle informazioni di login di Telegram, mentre lancia attacchi di phishing di Google.

All’incirca nello stesso periodo un trojan chiamato “Alien” ha preso di mira le banche con un nuovo sniffer di notifica che ha dato ai truffatori la possibilità di accedere ai nuovi aggiornamenti dei dispositivi, compresi i codici 2FA, per bypassare la protezione.

A maggio, un altro attacco a Office 365 ha tentato di ingannare gli utenti a concedere autorizzazioni a un’applicazione canaglia, che avrebbe poi bypassato le protezioni 2FA.

La lista delle violazioni 2FA continua. Spetta all’utente assicurarsi di non cadere in questi tipi di truffe di phishing. Ducklin ha aggiunto che l’uso di un filtro web ed evitare le richieste via e-mail per i dati di accesso sono anche buone politiche da seguire.

“2FA non è mai stato un proiettile d’argento che eliminerà il phishing e le frodi – ma rende le cose più difficili per i truffatori, e ti dà un’opportunità in più per fermarti e pensare quando stai facendo il login, ‘Voglio davvero mettere la mia password e il mio codice di accesso *su questo stesso sito*? ha detto Ducklin. Controllate sempre da dove provengono le e-mail e dove vi hanno portato i link web – perché l’unica cosa peggiore dell’essere truffati è essere truffati e poi rendersi conto che i segni rivelatori sono sempre stati lì.”

Ha aggiunto: “Come ogni falegname vi dirà: misura due volte, taglia una volta.”

.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.