Ha a "Facebook" és a "biztonság" kifejezések egyetlen mondatba kerülnek, valahol biztosan ott lesz a "kockázat" szócska is, ezt a jól bejáratott sztereotípiát pedig csak tovább erősíti az a nagyszabású adathalászós (phishing) csalás is, amelyre a PIXM kiberbiztonsági cég hívta fel a figyelmet.
A New York-i székhelyű vállalatnak egy több millió felhasználót érintő kampányt sikerült felgöngyölítenie. A tömeges átverés 2021 óta szedte áldozatait a Messenger üzenetküldőn terjedő linkeken keresztül. A kérdéses linkek olyan weboldalakra terelték a felhasználókat, amelyek kicsalták azok facebookos belépési adatait, majd hirdetésekhez irányították őket, jutalékot hajtva az elkövetőnek.
Az adathalász weblapokon szerzett belépési információkat a csaló arra használta, hogy újabb linkeket küldjön az áldozatok nevében, exponenciálisan tágítva az átvert Facebook-felhasználók körét. A PIXM kutatóinak sikerült hozzáférniük a kampány statisztikai adataihoz, melyekből kiderült, hogy tavaly 2,7 millió, idén pedig 8,5 millió látogató kereste fel az egyik ilyen adathalász oldalt. Az átverések 405 különböző azonosítónevű alkampányon futottak, egyenként 4 ezer - 6 millió oldallátogatással, de a szakértők szerint ez csak töredéke lehet a teljes mennyiségnek.
Forrás: PIXM
A kiberbiztonsági cég felfedezte, hogy az összes adathalász weboldalon ott lapult egy kód, amely a "bendercrack.com" nevű honlapra utalt. Ezen a webcímen most egy üzenet fogadja a látogatókat, mely szerint a domaint már 2021 januárjában lefoglalták egy Rafael Dorado nevű kolumbiai férfitól, aki többek között látogatottsági csalásokra, rosszindulatú programok terjesztésére és adathalász-támadásokra használta.
Az egyelőre nem tiszta, hogy milyen hatóság áll a weboldal lelövése mögött, egy who.is-es keresés eredménye viszont arra utal, hogy a rafaeldorado@gmail.com e-mail cím kapcsolati adataival korábban legálisnak tűnő kolumbiai webfejlesztési szolgáltatásokat kínáltak. A PIXM értesítette a felfedezéseiről a helyi rendőrséget és az Interpolt is, miközben a csalási kampány egyes URL-jei ma is fogadják a látogatókat.