Security

phishing_1
Forrás: pixabay.com

Facebook felhasználók eshetnek áldozatul

Új adathalász-kampány van felfutóban, amely elsősorban a médiában dolgozó szakembereket célozza.  

A „Ducktail” (kacsafarok) névre keresztelt csalás lényege, hogy a támadók megpróbálják megszerezni az üzleti Facebook-oldalakat kezelő fiókok bejelentkezési adatait. Ehhez gondosan kiválasztják az áldozatokat, első sorban olyan embereket próbálnak megkeresni, akik közösségimédia-menedzserként dolgoznak, így adminisztrátori jogosultságokkal rendelkezhetnek. A Ducktail-t előszőr a WithSecure észlelte, szakembereik 2021 óta követik nyomon az „alkotók” csapatát. 

Hogyan működnek? 

A csalók a LinkedInen vadásznak a potenciális áldozatokra, olyan embereket céloznak, akik a profiljuk szerint a digitális média és a digitális marketing területén dolgoznak. A támadók beszélgetést kezdeményeznek a kiszemelttel, és meggyőzik arról, hogy töltsön le egy fájlt, amelyet egy törvényes felhőtárhely-szolgáltatáson, például a Dropboxon vagy az iCloudon tárolnak, így biztonságosnak tűnik. Sőt, a letöltött fájl az áldozat szempontjából releváns JPG képfájlokat és egy PDF-dokumentumnak látszó, de futtatható programot is tartalmaz. A fájl valójában egy .NET Core kártevő, amely bármilyen számítógépen futtatható, még azokon is, amelyeken nincs telepítve a .NET futtatóprogram. A rosszindulatú program futtatásakor a Chrome, Edge, Brave és Firefox böngésző cookie-kat keres, rendszerinformációkat gyűjt, és végül a Facebook biztonsági hitelesítő adatait veszi célba.  

Innentől kezdve a Facebookhoz érkező kérések hitelesnek tűnnek, mivel az áldozattól származnak a korábban megszerzett, érvényes munkamenet-süti miatt. A kártevő ezt követően rögzíti a hozzáférési tokeneket, de az ellopott információk közé tartoznak a cookie-k, az IP-cím, a fiókadatok (név, e-mail, születésnap, felhasználói azonosító), a MFA-kódok és a geolokációs adatok, lényegében minden, ami lehetővé teszi a csalók számára azt, hogy a saját számítógépükről is beléphessenek a fiókba.  

Ez azért aggasztó, mert a csalók ezáltal hozzáférnek az adminisztrátori joggal rendelkező áldozat által menedzselt fiókhoz, így néhány kattintást követően megszerezhetik az üzlet-specifikus adatokat, a hirdetési limit szerkesztésének a jogát, a felhasználói listát, az ügyféllistát, az azonosítókat, de van ennél rosszabb is.  

A Facebook-fiók eltérítése 

A rosszindulatú szoftverrel a csalók nemcsak adatokat lopnak el az áldozatok Facebook-fiókjairól, hanem a saját e-mail címüket hozzáadva az üzleti fiókhoz, megszerezhetik a legmagasabb adminisztrátori jogot. Ez lehetővé teszi a bűnözők számára a fiókhoz való teljes hozzáférést, akik a következő lépésben néhány kattintással már át tudják állítani a számlázási adatokat úgy, hogy a saját számlájukra irányítsák a fizetéseket. De az is előfordul, hogy Facebook hirdetési kampányokat futtathatnak az áldozattá vált cégek pénzéből. 

Érdemes tehát extra figyelmet fordítani a kéretlen LinkedIn-megkeresésekre!