Остерегайтесь новых, чрезвычайно изощренных методов взлома Facebook.
В ходе изощренной фишинговой кампании, направленной на пользователей Facebook, были использованы уязвимости легитимного сервиса Google для обхода систем безопасности электронной почты и кражи информации об учетных записях.
Обнаружена изощренная фишинговая кампания, нацеленная на пользователей Facebook. Вызывает тревогу тот факт, что злоумышленники использовали легитимный сервис Google для обхода систем безопасности электронной почты, что затрудняло обнаружение атаки пользователями. Эксперты по кибербезопасности из KnowBe4 выпустили срочное предупреждение об этой опасной схеме.
Согласно предупреждению KnowBe4, киберпреступники используют платформу Google AppSheet — инструмент разработки приложений без кода — для распространения большого количества фишинговых писем. Поскольку они отправляются с легитимного адреса Google "@appsheet.com", эти письма легко обходят механизмы аутентификации домена, такие как SPF, DKIM и DMARC, а также защищенные почтовые шлюзы Microsoft (SEG). Это позволяет фишинговым письмам появляться непосредственно в почтовых ящиках пользователей, не будучи помеченными как опасные.
Примечательно, что каждое электронное письмо генерируется с уникальным идентификационным кодом, что затрудняет идентификацию и блокировку таких писем традиционными системами обнаружения.
Поддельное электронное письмо, имитирующее уведомление Facebook, обвиняет пользователей в нарушении прав интеллектуальной собственности и предупреждает, что их учетные записи будут удалены в течение 24 часов. Оно содержит кнопку «Подать апелляцию», чтобы создать ощущение срочности. При нажатии на нее пользователи перенаправляются на поддельный веб-сайт, имитирующий интерфейс входа в Facebook, размещенный на Vercel — авторитетном сервисе, специализирующемся на размещении современных веб-приложений. Это делает мошенничество еще более убедительным.
На поддельном веб-сайте, если жертва вводит свое имя пользователя и код двухфакторной аутентификации (2FA), вся ее информация передается непосредственно злоумышленнику. Тактика становится еще более изощренной, когда при первой попытке входа в систему намеренно отображается сообщение «неверный пароль», чтобы заставить пользователя повторно ввести информацию для проверки ее правильности.
Что еще опаснее, после кражи коды двухфакторной аутентификации могут быть немедленно использованы хакерами для входа в Facebook и получения контроля над учетной записью. Они также могут получить токен сессии, что позволяет им сохранять доступ даже после того, как пользователь сменил пароль.
Пользователям рекомендуется проявлять бдительность в отношении электронных писем с просьбами о срочных действиях или предоставлении личной информации, даже если они кажутся исходящими из надежных источников. Эксперты по кибербезопасности подчеркивают: всегда тщательно проверяйте адрес отправителя, не спешите переходить по подозрительным ссылкам и ни в коем случае не вводите учетные данные, если вы не уверены в подлинности веб-сайта.