I løbet af de seneste to uger har vi set en bølge af Facebook sider tilhørende virksomheder, organisationer og kendisser blive hacket. Formålet har været det samme hver eneste gang. At poste uønskede opslag, så sidens følgere blev eksponeret for indholdet. Samtidig har de websider, som der er blevet gjort reklame for, været knyttet til en blackhat affiliate kampagne. Her er der bl.a. blevet gennemført clickjacking.
Indtil i aften var det os uklart hvordan det lykkedes de it-kriminelle at opnå adgang til de mange profiler indtil vi fandt Facebook app'en "Get Verified". Selv om alt ved denne app lugter af svindel er det desværre lykkedes bagmændene at fiske massevis af brugernavne og passwords til populære Facebook sider. Vi har medtaget et skærmdump af den pågældende app herunder.
Bemærk, at den pågældende side lokker med at indehaveren kan validere sit ejerskab og samtidig få adgang til access logs. Det er naturligvis ikke tilfældet men derimod den første deciderede phishing kampagne som florerer på Facebook. Som det fremgår af det vedhæftede skærmdump skal man nemlig opgive Navn, E-mail eller telefon samt passwords og URL på ens Facebook side. Med de data i hænderne kan de it-kriminelle fint logge ind og poste præcist de beskeder de ønsker.
KIMS, Afbudsrejser, Kræftens bekæmpelse ...
Vi har en begrundet mistanke om at det netop er på denne måde at flere større Facebook sider tilhørende virksomheder og kendisser er blevet kompromitteret henover den seneste måned. Et eksempel er Afbudsrejser som vi tidligere har blogget omkring: https://www.csis.dk/da/csis/blog/4471/
Da der i flere tilfælde er tale om virksomheder med særdeles mange følgere, så når disse kampagner hurtigt ud til rigtigt mange mennesker, som så samtidig bringer sig selv i fare for at blive det næste offer.
Koden i app'en gør brug af en IFRAME som trækker indhold fra: https://gollf2sh.dating/v1/
Samme side indsamler de data som indtastes og er hostet hos 1&1 Internet AG i Tyskland.
Vi har blokeret flere end 15 domæner relateret til denne kampagne, og mens vi analyserer dette spredes den kraftigt blandt naive Facebook brugere. Alle CSIS Secure DNS kunder er beskyttet ligesom Heimdal PRO og corporate vil være skærmet mod denne og fremtidige kampagner.
Vores råd er at holde sig væk fra "Get Verified" og generelt opføre sig på samme måde som når man modtager uønskede e-mail som fisker efter brugernavne og passwords.
Tak til vores kollegaer på Facebook fællessk,abet "Undgå virus og spam" som pegede os i retning af denne kampagne.
Vi har uploadet indholdet af gollf2sh.dating til Pastebin:
http://pastebin.com/sgvmmsjH
↧
CSIS Blog: Nyt Facebook phishing trick
↧