Фішинг залишається одним з улюблених методів хакерів, щоб швидко та легко заробити гроші. Щоб максимізувати кількість жертв і, відповідно, прибуток, оператори зазвичай орієнтуються на користувачів популярних програм і клієнтів дуже великих компаній. Ось чому Apple, Microsoft і Facebook є улюбленими об’єктами фішингових кампаній. У квітні 2022 року хакери видавали себе Facebook, щоб зламати акаунти користувачів. А зараз, дослідники інформаційної безпеки PIXM попереджають про нову масову фішингову кампанію у Facebook Messenger.
Отже, принцип роботи простий: хакери розробили багато фішингових сайтів, засвоївши інтерфейс Facebook і Messenger. Метою є спонукати жертв надавати свої облікові дані для входу. Як тільки хакери отримали цю інформацію, сталося дві речі: жертви перенаправляються на вебсайти, на яких розміщується реклама, опитування та інші способи отримання доходу для операторів, а вкрадені акаунти Facebook використовуються для поширення кампанії через Messenger.
Хакери заробляють мільйони доларів за допомогою масової фішингової кампанії Facebook Messenger
Для цього хакери використовують автоматизовані інструменти для надсилання інших фішингових посилань друзям зламаних облікових записів. «Обліковий запис користувача був об’єктом атаки, і, ймовірно, автоматичним чином зловмисник увійшов у цей обліковий запис і надіслав посилання друзям користувача через Facebook Messenger».
І хоча Facebook має запобіжні заходи для запобігання доставлення шкідливих URL-адрес оператори використали трюк, щоб обійти безпеку Facebook Messenger. Дійсно, фішингові повідомлення з використанням легальних сервісів генерації ULR, таких як litch.me, slavno.co, amaze.co або навіть funnel-preview.com. Ці URL-адреси використовуються багатьма законними програмами. За даними дослідників, один з фішингових порталів відвідали 2,7 мільйона користувачів. Ця цифра зросла до 8,5 мільйонів у 2022 році, що показує значне зростання кампанії.
Колумбійська поліція та Інтерпол отримали результати розслідування PIXM, але кампанія все ще триває, попри те, що багато ідентифікованих URL-адрес вимкнено.
