Trussel om lukning af Facebook gruppe er phishing
I løbet af de seneste måneder, er særligt grupper og virksomheder på Facebook, blevet målrettet en snedige phishing kampagne, som truer med at kontoen vil blive lukket hvis man ikke handler, men som ender med, at ville fiske passwordet til Facebook gruppen. Det kan få omfattende konsekvenser for virksomheder eller brugergrupper på Facebook at få kompromitteret deres konto.
Herunder ser jeg nærmere på en helt frisk en af disse kampagner der aktivt postes ind på vilkårlige virksomhedssider og grupper på Facebook.
Denne form for trusler, med at udelukke og suspendere en Facebook konto, har kørt målrettet i over et år. De gør grundlæggende brug af samme fremgangsmetode, som er en trussel om nedlukning, da der er fundet tegn på overtrædelse af Facebooks vilkår.
Med den truende besked som postes enten på siden eller sendes i Facebook Messenger, findes et link, som ofret skal klikke på. Se skærmdump af den aktuelle besked herunder:
Som det fremgår, så peger linket på Facebook.com og en tilknyttet "l.php" der fungerer som videredirigering til eksterne websider. I dette tilfælde videredirigeres trafikken fra facebook.com igennem l.php og til (saniteret)
restrictionpage[.]com
Domænet er oprettet i går og hostet hos Dynadot:
Domain Name: RESTRICTIONPAGE[.}COM
Registry Domain ID: 2866882615_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.dynadot.com
Registrar URL: https://www.dynadot.com
Updated Date: 2024-04-09T10:21:42.0Z
Creation Date: 2024-03-26T08:53:53.0Z
Registrar Registration Expiration Date: 2025-03-26T08:53:53.0Z
Registrar: DYNADOT LLC
Registrar IANA ID: 472
Den skadelige webside udgiver sig for at være META, og anmoder om forskellige oplysninger fra ofret, når man lander på websiden. Se herunder:
Hvis disse oplysninger indtastes åbenbares formålet med kampagnen. I næste fase spørges der nemlig til passwordet, som er knyttet til gruppen eller virksomhedssiden. Det er altså regulær phishing, men fint indpakket. Og målet er tydeligt. At kompromittere kontoen med henblik på it-kriminalitet.
Tyveri af Facebook grupper og virksomhedskonti
Hvis ofret vælger at indtaste password vil de kriminelle med det samme ændre password og kontaktindstillinger for Facebook gruppen og enten afpresse for at retablere adgang til gruppen, eller misbruge kontoen til at etablere og sprede reklamer, som så kan indbringe dem penge f.eks. igennem Investeringssvindel eller anden form for svindel.
Teknisk set sendes passwords, samt ledsagende oplysninger om Facebook tilknytning til samme webside via en form: POST https://restrictionpage[.]com/login HTTP/1.1
Websiden styres af den/de it-kriminelle, og de kan ved at tilgå serveren og den tilknyttede log, systematisk indsamle alle de høstede/fiskede passwords og data og misbruge dem til yderligere kriminelle formål.
NB: Hvis du var så kvik, at du bemærkede, at der i beskeden var skrevet "Metaeam", så er det godt spottet. Men der er faktisk en god grund. Ved at stave forkert kan man lettere undgå at blive opsamlet af Facebook's interne crawlere som netop søger efter den slags ord. Derfor er det bevist stavet forkert fra svindlernes side. Helt i tråd med da man i gamle dage, skrev "Viagra" på tusindvis af måder i spammails ;-)