Powiadomienia o naruszeniu praw autorskich prowadzą do obejścia zabezpieczeń 2FA na Facebooku

Written by on in Articles

Oszuści wymyślili nowy sposób na ominięcie zabezpieczeń uwierzytelniania dwuskładnikowego (2FA) na Facebooku.

Cyberprzestępcy wysyłają fałszywe powiadomienia o naruszeniu praw autorskich z groźbą usunięcia stron, chyba że użytkownik spróbuje się odwołać. Pierwszy krok w „odwołaniu?” Ofiara jest proszona o przesłanie nazwy użytkownika, hasła i kodu 2FA z urządzenia mobilnego, według Sophos researcher Paul Ducklin, pozwalając oszustom ominąć 2FA.

2FA to dodatkowa warstwa ochrony na szczycie nazwy użytkownika i hasła, która zwykle obejmuje wysyłanie unikalnego kodu do urządzenia mobilnego, który musi być wprowadzony, aby uzyskać dostęp do platformy. Ale oszuści coraz częściej znajdują sposoby na jego obejście.

Ducklin wyjaśnił w ostatnim poście o swoich odkryciach, że Sophos regularnie otrzymuje e-maile z naruszeniami praw autorskich w mediach społecznościowych, ale ten jeden wyróżniał się poprzez rozpoczęcie wiarygodnego ataku przy użyciu oszukańczych stron wygenerowanych na Facebooku, nadając ich phishingowym e-mailom dodatkową atmosferę legalności.

„Żadna z tych taktyk nie jest nowa – ten przekręt był po prostu interesującą i pouczającą kombinacją” – napisał Ducklin do Threatpost w e-mailu o swoich odkryciach. „Po pierwsze, e-mail jest krótki i prosty; po drugie, link w e-mailu prowadzi do legalnej strony, a mianowicie do Facebooka; po trzecie, przepływ pracy na stronie oszustwa jest zaskakująco wiarygodny.”

Fałszywe e-maile z Facebooka oferują wskazówki, że nie są legalne, ale Ducklin zwraca uwagę, że jest to wystarczająco przekonujące, aby skłonić administratorów mediów społecznościowych do zebrania więcej informacji na temat rzekomych skarg dotyczących naruszenia praw autorskich, co oznacza kliknięcie na link phishingowy w e-mailu.

Wiadomość e-mail grozi usunięciem strony ofiary, chyba że odwołanie zostanie złożone w ciągu 24 godzin.

„Zobaczysz, kiedy najedziesz na 'kontynuuj’ rzeczywiście zabierze cię do facebook.com,” powiedział. „Haczyk tkwi w tym, że adres na Facebooku to oszukańcza strona ustawiona tak, aby wyglądała jak oficjalna strona Facebooka poświęcona rozpatrywaniu spraw związanych z naruszeniem praw autorskich.”

Od tego miejsca, nawet jeśli linkowany tekst wygląda tak, jakby kliknięcia były wysyłane na inną stronę Facebooka – rzekomo po to, aby ofiary mogły złożyć „odwołanie” – Ducklin spojrzał i stwierdził, że docelowy adres URL różni się od linkowanego tekstu. Zamiast tego odsyła ofiarę do domeny .CF z siedzibą w Republice Środkowoafrykańskiej.

„To stara sztuczka stosowana przez oszustów – a nawet przez niektóre legalne strony”, dodał Ducklin.

Strona została założona tymczasowo w chmurze usługi hostingowej, która generuje certyfikat HTTPS, gdy witryna jest online, co czyni wykrywanie nieco trudniejsze, dodał.

„Ważność certyfikatu rozpoczęła się dziś o północy, a wiadomość e-mail o oszustwie, którą otrzymaliśmy, dotarła do nas o 01:53 UTC, czyli wczesnym wieczorem na zachodnim wybrzeżu Ameryki i późnym wieczorem na wschodnim wybrzeżu” – napisał Ducklin. „Jak widać, cybercrookowie poruszają się szybko!”

Po wejściu na stronę, użytkownicy zostali poproszeni o wprowadzenie swojego hasła, dwa razy, dostęp do aplikacji Facebook na swoim urządzeniu mobilnym i wprowadzenie kodu 2FA, który znajduje się w sekcji „Ustawienia & Prywatność > Generator kodu” w aplikacji. Ducklin napisał, że może to spowodować „potencjalnie dając im jednorazową szansę, aby zalogować się jako ty, bezpośrednio z ich serwera, nawet jeśli masz 2FA włączone.”

Od kiedy mają dostęp do poświadczeń ofiary na Facebooku, napastnicy mogą odsprzedać informacje w ciemnej sieci, używać go do porwania lub zdjąć strony, trzymać dane użytkownika dla okupu lub nawet dokonać oszukańczych zakupów w aplikacji.

Facebook odpowiedział na prośbę Threatpost o komentarz, mówiąc, że firma zaleca bycie ostrożnym, aby nie klikać na żadne podejrzane linki, dodając, że jeśli użytkownik zostanie zhakowany, może uzyskać pomoc w zabezpieczeniu swojego konta na facebook.com/hacked. Firma dodała, że zalecają korzystanie z trzeciej strony aplikacji uwierzytelniania jako podstawowej metody bezpieczeństwa. Facebook ma również listę wskazówek, aby uniknąć prób phishingu na swojej platformie.

Is 2FA Broken?

Omijanie 2FA pojawiło się jako niepokojący trend.

Grupa cyberprzestępcza Rampant Kitten została odkryta zaledwie w zeszłym miesiącu, po latach działania niewykryta, aby opracować złośliwe oprogramowanie na Androida, które zbiera kody bezpieczeństwa 2FA wysyłane do urządzeń oprócz informacji logowania do Telegramu, jednocześnie uruchamiając ataki phishingowe Google.

Mniej więcej w tym samym czasie trojan o nazwie „Alien” zaatakował banki za pomocą nowatorskiego sniffera powiadomień, który dał oszustom możliwość uzyskania dostępu do nowych aktualizacji urządzeń, w tym kodów 2FA, w celu obejścia zabezpieczeń.

W maju inny atak na Office 365 próbował oszukać użytkowników, aby przyznali uprawnienia nieuczciwej aplikacji, która następnie ominęłaby zabezpieczenia 2FA.

Lista naruszeń 2FA jest długa. W gestii użytkownika pozostaje upewnienie się, że nie da się nabrać na tego typu oszustwa phishingowe. Ducklin dodał, że stosowanie filtra internetowego i unikanie próśb o podanie danych logowania w wiadomościach e-mail to również dobre zasady, których należy przestrzegać.

„2FA nigdy nie było srebrną kulą, która wyeliminuje phishing i oszustwa – ale utrudnia sprawę oszustom i daje ci jeszcze jedną możliwość zatrzymania się i zastanowienia podczas logowania: 'Czy naprawdę chcę wprowadzić moje hasło i mój kod logowania *na tej właśnie stronie*?” powiedział Ducklin. Zawsze sprawdzaj, skąd przychodzą e-maile i dokąd prowadzą linki internetowe – ponieważ jedyną rzeczą gorszą od bycia oszukanym jest bycie oszukanym, a następnie uświadomienie sobie, że znaki ostrzegawcze były tam przez cały czas.”

Dodał również: „Jak powie Ci każdy stolarz: mierz dwa razy, tnij raz.”

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.