Киберпреступники, промышляющие угоном паролей, постоянно придумывают все новые и новые способы доставки фишинговых писем. Например, они научились использовать легитимные функции Facebook* для отправки жертвам фейковых уведомлений о блокировке их бизнес-аккаунтов. Рассказываем, как работает эта схема, на что следует обращать внимание и какие меры стоит предпринять для защиты корпоративных учетных записей в соцсетях.
Оглавление
Как происходит фишинговая атака на бизнес-аккаунты Facebook*
Начинается все с того, что на электронную почту, привязанную к корпоративному аккаунту Facebook*, приходит письмо, действительно отправленное соцсетью. Внутри содержится угрожающая иконка с восклицательным знаком и тревожный текст: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
Письмо, действительно отправленное настоящим Facebook*, в котором содержится фейковое предупреждение о неприятностях с аккаунтом
К этому добавлены еще и другие слова, которые в сочетании с вышеприведенным текстом выглядят странно. Но в спешке или панике менеджер, ответственный за работу с Facebook*, может не обратить внимания на эти странности — и поспешит перейти по ссылке, либо вручную открыв Facebook* в браузере, либо кликнув на одну из кнопок в письме.
В последнем случае он также попадет в Facebook* — ведь письмо настоящее, так что и кнопки честно ведут на настоящий сайт. Однако там его будет ждать уведомление — с уже знакомой оранжевой иконкой и все тем же угрожающим заголовком: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
Фишинговое уведомление внутри соцсети рассказывает о блокировке аккаунта жертвы из-за несоответствия условиям предоставления услуг
В уведомлении деталей больше: якобы аккаунт и страница будут заблокированы, поскольку кто-то пожаловался на их несоответствие условиям предоставления услуг. Далее жертве предлагается перейти по ссылке, чтобы оспорить блокировку учетной записи.
Если это сделать, то откроется сайт (для разнообразия украшенный логотипом Meta**, а не Facebook*), на странице которого написано примерно то же самое, что и в уведомлении, однако отпущенное на решение проблемы время составляет уже не 24 часа, а всего лишь 12. Мы подозреваем, что на этот раз мошенники используют логотип Meta**, потому что они пробуют аналогичные схемы на других платформах Meta**. мы нашли в Instagram* как минимум одну «локацию» с таким же названием – «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
После нажатия кнопки «Начать» посетитель через серию редиректов попадает на страницу с формой, в которой для начала его просят ввести сравнительно невинные данные: название страницы, имя и фамилию, номер телефона и дату рождения.
На втором экране фишингового сайта от жертвы требуют ввести некоторое количество персональных данных
Однако уже на следующем экране наступает кульминация: требуется ввести адрес почты или номер телефона, к которым привязан аккаунт Facebook* и пароль. Как несложно догадаться, именно эти данные и являются желанной добычей злоумышленников.
Злоумышленники довольно быстро переходят к делу и требуют ввести логин и пароль от аккаунта Facebook*
Как данная фишинговая схема эксплуатирует реальную инфраструктуру Facebook*
Теперь поговорим о том, как же злоумышленники заставляют Facebook* отправлять для них фишинговые уведомления. Для этого они используют угнанные учетные записи Facebook*. Аккаунту меняют имя — им становится тот самый тревожный заголовок, то есть 24 Hours Left To Request Review. See Why. Также злоумышленники меняют изображение профиля, подбирая его таким образом, чтобы в превью получился оранжевый значок с восклицательным знаком, уже знакомый нам по письму и уведомлению.
После этого от имени аккаунта публикуется то самое сообщение, описывающее блокировку аккаунта. В нижней части этого сообщения после нескольких десятков пустых строчек ставится упоминание страницы жертвы. По умолчанию оно скрыто, но если кликнуть в фишинговом посте по ссылке «Увидеть больше», то отметку становится видно.
Фокус в том, что в конце поста злоумышленники добавляют максимально незаметную отметку атакуемого бизнес-аккаунта Facebook*
Такие сообщения злоумышленники публикуют от имени угнанного аккаунта сразу в большом количестве, в каждом из них ставится упоминание одного из атакуемых ими бизнес-аккаунтов.
Угнанный аккаунт создает множество публикаций, в каждой из которых отмечен аккаунт какой-нибудь организации
В результате Facebook* заботливо отправляет уведомления всем учетным записям, упомянутым в этих постах, — как внутри самой соцсети, так и на привязанные к этим аккаунтам почтовые адреса. А поскольку для доставки используется настоящая инфраструктура Facebook*, эти уведомления гарантированно доходят до адресатов.
Как защитить от угона корпоративные аккаунты в социальных сетях
Заметим, что фишинг является не единственной угрозой для корпоративных аккаунтов. Также существует целый класс вредоносного ПО, которое специально создается для кражи паролей, — такие зловреды называются стилерами (password stealers). Кроме того, для тех же целей злоумышленники могут использовать браузерные расширения — не так давно мы рассказывали об угоне бизнес-аккаунтов Facebook* с их использованием.
Вот что мы советуем для защиты корпоративных учетных записей в соцсетях.
Обязательно используйте двухфакторную аутентификацию везде, где есть такая возможность.
Внимательно относитесь к уведомлениям о попытках подозрительного входа в аккаунты.
Используйте надежные и уникальные пароли. Для их генерации и хранения лучше всего воспользоваться менеджером паролей.
Тщательно проверяйте адреса страниц, на которых вас просят ввести пароль от учетной записи: если есть хотя бы малейшие подозрения в том, что сайт поддельный, пароль вводить не стоит.
Используйте на всех рабочих устройствах надежную защиту, которая вовремя предупредит об опасности и заблокирует действия вредоносных программ и браузерных расширений.
*Instagram и Facebook принадлежат компании Meta**, признанной экстремистской организацией в Российской Федерации.
** Компания Meta признана экстремистской организацией в Российской Федерации.
Блог Касперского