Kompromitterede Facebook konti misbruges til at udsende Messenger spam

2023-07-11

I løbet af den seneste uge har der været en stigning i særligt en spamkampagne, som via kompromitterede Facebook konti og igennem den indbyggede Messenger, lokker med et link, som modtageren skal fristes til at klikke på.

Den uønskede besked lokker med et styrt, men i virkeligheden, så flyttes trafik over til Google og derfra videre til en sværm af tvivlsomme websider der gør reklame for alverdens ting, man var bedre foruden ...

Der anvendes XSS (Cross Site Scripting) via trafik til Google og via de eksterne websider, hvor der forsøges at kompromittere yderligere Facebook konti ved at høste session cookies.

I den pågældende test som jeg lavede fra en sandbox landede trafikken på websiden (saniteret)
https://mobmsgs[.]com/m/u/?lpkey=[unikID]&clickid=[uniktID]

Og derfra hoppede den så videre til en sværm af uønskede websider. Indholdet, som leveres, er baseret på browser-agent og geolokation.

Ikke klikke og slå totrinsgodkendelse til!
Generelt er reglen, at man ALDRIG klikker ukritisk på beskeder som man modtager via Messenger og hvor indholdet ser mistænkeligt ud og samtidig flytter trafikken væk fra Facebook. En kendt teknik via Messenger spam er at lokke uforsigtige brugere til at logge på Facebook via de skadelige websider hvorved man mister kontrol med sin konto.
Slå altid totrinsgodkendelse til. Det gøres under "indstillinger for sikkerhed og login" og vælg derfra: "Brug totrinsgodkendelse".

Se også:
https://www.facebook.com/help/148233965247823