據(jù) Bleeping Computer 網(wǎng)站披露,研究人員發(fā)現(xiàn)了一項大規(guī)模網(wǎng)絡(luò)釣魚活動。攻擊者濫用 Facebook 和 Messenger 引誘數(shù)百萬用戶訪問網(wǎng)絡(luò)釣魚頁面,誘騙用戶輸入帳戶憑據(jù)。
經(jīng)研究人員分析,釣魚活動背后的操作者可以利用這些被盜賬戶,向用戶的朋友進一步發(fā)送釣魚信息,通過在線廣告?zhèn)蚪皤@得了大量收入。
根據(jù)一家專注于人工智能的網(wǎng)絡(luò)安全公司 PIXM 稱,釣魚活動至少從 2021年 9 月就開始活躍,在 2022 年 4 月至 5 月達到頂峰。
PIXM 通過追蹤威脅攻擊者,繪制了釣魚活動地圖,發(fā)現(xiàn)其中一個被識別出的釣魚網(wǎng)頁承載了一個流量監(jiān)控應(yīng)用程序(whos.amung.us)的鏈接,該應(yīng)用程序無需認證即可公開訪問。
大規(guī)模的濫用
目前,尚不清楚釣魚活動最初是如何開始的,但 PIXM 表示,受害者是通過一系列源自 Facebook 、Messenger 的重定向到達釣魚登陸頁面的,在更多的 Facebook 賬戶被盜后,威脅攻擊者使用自動化工具向被盜賬戶好友進一步發(fā)送釣魚鏈接,造成了被盜賬戶大規(guī)模增長。
另外,雖然 Facebook 有自身保護措施,可以阻止釣魚網(wǎng)站 URL 的傳播,但威脅攻擊者使用某個技巧,繞過了這些保護措施。
再加上,釣魚信息使用了 litch.me、famous.co、amaze.co 和 funnel-preview.com 等合法的 URL 生成服務(wù),當(dāng)合法的應(yīng)用程序使用這些服務(wù)時,阻止這些服務(wù)成為了一個很難解決的問題。
網(wǎng)絡(luò)釣魚活動中使用的一些 URL
值得注意的是,研究人員未經(jīng)身份驗證,成功訪問了網(wǎng)絡(luò)釣魚活動統(tǒng)計頁面,經(jīng)過對數(shù)據(jù)信息分析后發(fā)現(xiàn),在 2021 年,有 270 萬用戶訪問了其中一個網(wǎng)絡(luò)釣魚門戶,這個數(shù)字在 2022 年上升到 850 萬,側(cè)面反映了釣魚活動在大規(guī)模增長。
通過深入研究,研究人員確定了 405 個用作釣魚活動標(biāo)識符的獨特用戶名,每個用戶名都有一個單獨的 Facebook 網(wǎng)絡(luò)釣魚頁面,這些釣魚網(wǎng)頁的頁面瀏覽量從只有 4000 次到數(shù)百萬次不等,其中一個頁面瀏覽量更是高達 600 萬次。研究人員認為,這 405 個用戶名僅僅占釣魚活動所用賬戶的一小部分。
已識別的傳播用戶樣本
另外,研究人員披露,當(dāng)受害者在釣魚網(wǎng)站的登陸頁面上輸入憑證后,新一輪重定向就會開始,立刻將用戶帶到廣告頁面、調(diào)查表等。
一個向釣魚用戶展示的廣告
威脅攻擊者能夠從這些重定向中獲得推薦收入,在這種如此大規(guī)模的釣魚活動中,估計能有數(shù)百萬美元的利益。
追蹤威脅攻擊者
值得一提的是,PIXM 在所有登陸頁面上都發(fā)現(xiàn)了一個通用代碼片段,其中包含一個是對已被查封網(wǎng)站的引用,該代碼片段是對名為 Rafael Dorado 的哥倫比亞男子調(diào)查的一部分。
目前尚不清楚是誰查封了該域名并在網(wǎng)站上發(fā)布了通知。通過反向 whois 查詢,指向了倫比亞一家合法的網(wǎng)絡(luò)開發(fā)公司和提供 Facebook “l(fā)ike bots” 和黑客服務(wù)的舊網(wǎng)站鏈接。
PIXM 已經(jīng)和哥倫比亞警方與國際刑警組織分享了調(diào)查結(jié)果,同時強調(diào)盡管許多已識別的 URL 已下線,但釣魚活動仍在進行中。
參考文章:https://www.bleepingcomputer.com/news/security/massive-facebook-messenger-phishing-operation-generates-millions/
原文來源:FreeBuf