Meddelanden om upphovsrättsbrott leder till att Facebook kringgår 2FA

Skriven av den i Articles

Skurkarna har hittat ett nytt sätt att försöka kringgå skyddet för tvåfaktorsautentisering (2FA) på Facebook.

Cyberbrottslingar skickar falska meddelanden om upphovsrättsbrott och hotar med att ta ner sidor om inte användaren försöker överklaga. Det första steget i ”överklagandet”? Offret ombeds att skicka in ett användarnamn, ett lösenord och en 2FA-kod från sin mobila enhet, enligt Sophos forskare Paul Ducklin, vilket gör det möjligt för bedragare att kringgå 2FA.

2FA är ett extra skyddslager ovanpå ett användarnamn och ett lösenord som vanligtvis innebär att en unik kod skickas till en mobil enhet, som måste matas in för att få tillgång till en plattform. Men skurkarna hittar allt oftare sätt att kringgå det.

Ducklin förklarade i ett nyligen publicerat inlägg om sina upptäckter att Sophos regelbundet får bluffmejl om upphovsrättsintrång på sociala medier, men att den här bluffmejlen utmärkte sig genom att lansera ett trovärdigt angrepp med hjälp av bedrägliga sidor som genererats på Facebook, vilket gav deras nätfiskemejl en extra känsla av legitimitet.

”Ingen av dessa taktiker är nya – den här bluffmejlen var bara en intressant och informativ kombination”, skrev Ducklin till Threatpost i ett mejl om sina upptäckter. ”För det första är mejlet kort och enkelt, för det andra går länken i mejlet till en legitim webbplats, nämligen Facebook, och för det tredje är arbetsflödet på bluffwebbplatsen förvånansvärt trovärdigt.”

De falska mejlen från Facebook ger ledtrådar om att de inte är legitima, men Ducklin påpekar att det är tillräckligt övertygande för att få administratörer av sociala medier att vilja samla in mer information om de påstådda klagomålen om upphovsrättsintrång, vilket innebär att man måste klicka på nätfiskelänken i mejlet.

I e-postmeddelandet hotar man med att radera offrets sida om inte ett överklagande lämnas in inom 24 timmar.

”Du kommer att se när du håller muspekaren över ”fortsätt” att den faktiskt tar dig till facebook.com”, säger han. ”Haken är att Facebook-adressen är en bedräglig sida som ser ut som en officiell Facebook-sida som är avsedd att hantera frågor om upphovsrättsintrång.”

Från den sidan, även om den länkade texten ser ut som om klick skickas till en annan Facebook-sida – som ska vara avsedd för att offren ska kunna lämna in ett ”överklagande” – tittade Ducklin efter och upptäckte att mål-URL:n är en annan än den länkade texten. Den skickar istället offret till en .CF-domän baserad i Centralafrikanska republiken.

”Det är ett gammalt trick som används av skurkar – och till och med av vissa legitima webbplatser”, tillade Ducklin.

Sajten sattes upp tillfälligt på en molnbaserad webbhotellstjänst, som genererar ett HTTPS-certifikat när webbplatsen väl är online, vilket gör detektering lite knepigare, tillade han.

”Certifikatets giltighet började vid midnatt i dag, och bluffmejlet vi fick kom klockan 01:53 UTC, vilket är tidigt på kvällen på den amerikanska västkusten och sent på kvällen på östkusten”, skrev Ducklin. ”Som ni kan se rör sig cyberkriminella snabbt!”

När de väl kom in på webbplatsen ombads användarna att skriva in sitt lösenord, två gånger, gå in i Facebook-appen på sin mobila enhet och skriva in 2FA-koden, som finns i avsnittet ”Inställningar & Sekretess > Kodgenerator” i appen. Ducklin skrev att detta kunde resultera i att ”potentiellt ge dem en chans att logga in som du, direkt från deras server, även om du har 2FA aktiverat.”

När de väl har tillgång till offrets Facebook-uppgifter kan angriparna sälja informationen på den mörka webben, använda den för att kapa eller lägga ner sidor, kräva lösensumma för användardata eller till och med göra bedrägliga köp i appen.

Facebook svarade på Threatposts begäran om en kommentar och sa att företaget rekommenderar att man är försiktig och inte klickar på några misstänkta länkar, och tillade att om en användare blir hackad kan de få hjälp med att säkra sitt konto på facebook.com/hacked. Företaget tillade att de rekommenderar att man använder en autentiseringsapp från en tredje part som en primär säkerhetsmetod. Facebook har också en lista med tips för att undvika nätfiskeförsök på sin plattform.

Är 2FA trasigt?

Bypassing av 2FA har dykt upp som en oroande trend.

Cyberkriminella gruppen Rampant Kitten upptäcktes så sent som förra månaden, efter att ha verkat oupptäckt i flera år, för att ha utvecklat skadlig Android-malware som samlar in 2FA-säkerhetskoder som skickas till enheterna utöver inloggningsinformation från Telegram, samtidigt som de startar phishing-attacker från Google.

Ungefär samtidigt riktade sig en trojan vid namn ”Alien” mot banker med en ny notifikationssniffare som gav bedragare möjlighet att få tillgång till nya enhetsuppdateringar, inklusive 2FA-koder, för att kringgå skyddet.

I maj försökte en annan attack mot Office 365 lura användarna till att ge behörighet till ett oseriöst program, som sedan skulle kringgå 2FA-skydd.

Listan över 2FA-överträdelser fortsätter. Det är fortfarande upp till användaren att se till att de inte faller för dessa typer av nätfiskebedrägerier. Ducklin tillade att det också är bra att använda ett webbfilter och undvika e-postförfrågningar om inloggningsuppgifter.

”2FA har aldrig varit en silverkula som kommer att eliminera nätfiske och bedrägerier – men det gör det svårare för skurkarna och ger dig ytterligare en möjlighet att stanna upp och tänka efter när du loggar in: ’Vill jag verkligen sätta in mitt lösenord och min inloggningskod *på just den här webbplatsen*?”. sade Ducklin. Kontrollera alltid varifrån e-postmeddelanden kommer och vart webblänkar har fört dig – för det enda som är värre än att bli lurad är att bli lurad och sedan inse att de avslöjande tecknen fanns där hela tiden.”

Han tillade: ”Som varje snickare kommer att säga till dig: mät två gånger, skär en gång.”

Lämna ett svar

Din e-postadress kommer inte publiceras.