Avisos de ‘Violação de Direitos Autorais’ Levam a Bypass do Facebook 2FA

Written by on in Articles

Agregadores de câmaras criaram uma nova forma de tentar contornar as protecções de dois factores (2FA) no Facebook.

Os criminosos informáticos estão a enviar falsos avisos de violação de direitos autorais, com a ameaça de derrubar páginas, a menos que o utilizador tente recorrer. O primeiro passo da “apelação? A vítima é solicitada a enviar um nome de usuário, senha e código 2FA do seu dispositivo móvel, de acordo com o pesquisador da Sophos Paul Ducklin, permitindo que fraudadores contornem 2FA.

2FA é uma camada adicional de proteção em cima de um nome de usuário e senha que normalmente envolve o envio de um código único para um dispositivo móvel, que deve ser digitado para acessar uma plataforma. Mas os vigaristas estão cada vez mais encontrando maneiras de contorná-la.

Ducklin explicou em um post recente sobre suas descobertas que a Sophos recebe regularmente e-mails de golpes de violação de direitos autorais nas redes sociais, mas este se distinguiu por lançar um ataque plausível usando páginas fraudulentas geradas no Facebook, dando aos seus e-mails de phishing um ar adicional de legitimidade.

“Nenhuma dessas táticas é nova – este golpe foi apenas uma combinação interessante e informativa”, Ducklin escreveu ao Threatpost em um e-mail sobre suas descobertas. “Primeiro, o e-mail é curto e simples; segundo, o link no e-mail vai para um site legítimo, o Facebook; terceiro, o fluxo de trabalho no site do esquema é surpreendentemente credível”.

Os falsos e-mails do Facebook oferecem pistas de que eles não são legítimos, mas Ducklin aponta que é suficientemente convincente para convencer os administradores da mídia social a querer reunir mais informações sobre as supostas reclamações de violação de direitos autorais, o que significa clicar no link de phishing no e-mail.

A mensagem do e-mail ameaça apagar a página da vítima a menos que um recurso seja apresentado dentro de 24 horas.

“Você vai ver quando você pairar sobre o ‘continuar’ de fato o leva ao facebook.com”, disse ele. “O senão é que o endereço do Facebook é a página fraudulenta configurada para parecer uma página oficial do Facebook, dedicada a lidar com questões de violação de direitos autorais”

De lá, mesmo que o texto vinculado pareça que os cliques são enviados para outra página do Facebook – aparentemente para que as vítimas possam apresentar uma “apelação” – o Ducklin procurou e descobriu que a URL de destino é diferente do texto vinculado. Em vez disso, ele envia a vítima para um domínio .CF baseado na República Centro-Africana.

“Esse é um velho truque usado por bandidos – e até mesmo por alguns sites legítimos”, acrescentou Ducklin.

O site foi configurado temporariamente em um serviço de hospedagem na nuvem, o que gera um certificado HTTPS uma vez que o site está online, tornando a detecção um pouco mais complicada, acrescentou ele.

“A validade do certificado começou à meia-noite de hoje, e o e-mail fraudulento que recebemos chegou à 01:53 UTC, que é início da noite na Costa Oeste da América, e final da noite na Costa Leste”, escreveu Ducklin. “Como você pode ver, os cybercrooks se movem rápido!”

No site, os usuários foram solicitados a digitar sua senha, duas vezes, acessar o aplicativo do Facebook em seu dispositivo móvel e entrar no código 2FA, que é encontrado na seção “Configurações & Privacidade > Gerador de Código” do aplicativo. Ducklin escreveu isso pode resultar em “dar a eles uma chance única de fazer login como você, diretamente do servidor deles, mesmo que você tenha o 2FA ativado””

Após terem acesso às credenciais de uma vítima no Facebook, os atacantes podem vender as informações na rede escura, usá-las para seqüestrar ou derrubar páginas, manter os dados do usuário para resgate ou até mesmo fazer compras fraudulentas no aplicativo.

Facebook respondeu ao pedido de comentários do Threatpost, dizendo que a empresa recomenda ter cuidado para não clicar em nenhum link suspeito, adicionando se um usuário for hackeado, ele pode obter ajuda para proteger sua conta no facebook.com/hackeado. A empresa acrescentou que recomenda o uso de um aplicativo autenticador de terceiros como um método de segurança principal. O Facebook também tem uma lista de dicas para evitar tentativas de phishing em sua plataforma.

O 2FA está quebrado?

Desvio do 2FA surgiu como uma tendência perturbadora.

Grupo de criminosos cibernéticos Rampant Kitten foi descoberto no mês passado, após anos de operação sem ser detectado, para ter desenvolvido um malware Android que reúne códigos de segurança 2FA enviados para dispositivos, além de informações de login do Telegram, enquanto lançava ataques de phishing do Google.

>

Por volta da mesma época, um trojan chamado “Alienígena” alvejou bancos com um novo sniffer de notificação que deu aos golpistas a capacidade de acessar novas atualizações de dispositivos, incluindo códigos 2FA, para contornar a proteção.

Em maio, outro ataque ao Office 365 tentou enganar os usuários para conceder permissões a uma aplicação desonesta, que então contornaria as proteções 2FA.

A lista de violações 2FA continua. Cabe ao utilizador certificar-se de que não cai nestes tipos de esquemas de phishing. O Ducklin acrescentou que usar um filtro web e evitar pedidos de e-mail para detalhes de login também são boas políticas a seguir.

“2FA nunca foi uma bala prateada que eliminará phishing e fraude – mas torna as coisas mais difíceis para os vigaristas, e dá-lhe mais uma oportunidade de parar e pensar quando estiver a fazer login, ‘Será que eu realmente quero colocar a minha senha e o meu código de login em * neste mesmo site*?”. Ducklin disse. Verifique sempre de onde vieram os e-mails e para onde os links web o levaram – porque a única coisa pior do que ser enganado é ser enganado e depois perceber que os sinais indicadores estiveram sempre lá”

Ele acrescentou, “Como qualquer carpinteiro lhe dirá: meça duas vezes; corte uma”

Deixe uma resposta

O seu endereço de email não será publicado.