Yeni keşfedilen bir kimlik avı kampanyası, Facebook’un harici URL uyarı özelliğini Dupe kullanıcılarına giriş kimlik bilgilerini teslim etmek için kullanıyor.
Facebook’un “Facebook’tan Ayrılmak üzeresiniz” yeniden yönlendirme mekanizmasını kötüye kullanarak, saldırganlar sosyal medya devinin resmi alanının ve grafik stilinin arkasındaki kötü amaçlı URL’leri gizleyebilirler – cazibenin temkinli kullanıcılara bile iyi görünmesi.
Facebook, kullanıcıları yanlışlıkla potansiyel olarak zararlı web sitelerine gitmekten korumak için harici bağlantı uyarı sayfasını tanıttı.
Bir kullanıcı bunları Facebook’un etki alanından yönlendiren bir bağlantıyı tıklattığında, “Devam” düğmesine sahip “Facebook dışında bir bağlantıya gidiyorsunuz” yazan bir geçişçi sayfası görürler.
Bu kimlik avı kampanyasında, saldırganlar gerçek kötü amaçlı hedef URL’yi Facebook’un yönlendirme bağlantısında “U” parametresi olarak yerleştirdiler.
Trustwave Mailmarshal SpiderLabs’taki güvenlik araştırmacıları, sahte oturum açma portallarına inmeden önce meşru görünümlü Facebook uyarı sayfaları aracılığıyla kurbanları yönlendiren e-postaları ortaya çıkardı.
Örneğin, biçimlendirilmiş bir bağlantı https://www.facebook.com/flx/warn/?u=https%3A%2F%2Fdomain.com Resmi uyarı sayfasını sorar, ancak “Devam” a basmak kurbanı saldırgan kontrollü siteye götürür.
İlk tıklama ve uyarı sayfası her ikisi de Adres Çubuğunda Facebook.com’u gösterdiğinden, alıcıların bağlantıya güvenmesi ve devam etme olasılığı daha yüksektir.
Facebook Hesap Güvenlik Ekibini Taklit Eden E -postalar Kullanıcıları Acil Doğrulama Gereksinimleri veya Hesap Süspansiyonu Uyarlarsa Uyarılar.
Konu satırları gerçek güvenlik uyarılarını taklit eder – “Hesabınız doğrulanmadan sınırlı olacaktır” veya “Güvenlik Uyarısı: Olağandışı Giriş Girişimi” – ve Body Copy’de logolar, altbilgiler ve stilize “Şimdi Doğrula” düğmeleri dahil Facebook markalaşması bulunur.
Bağlantıların üzerinde gezinmek genellikle Facebook.com alanını ortaya çıkarır ve yönlendirme gerçekleşmeden önce kullanıcıları yanlış bir güvenlik duygusuna sokar.
Çok dilli hedefleme ve sosyal mühendislik
Trustwave Mailmarshal SpiderLabs, kimlik avı e -postalarının coğrafi erişimini genişletmek için İngilizce, Almanca, İspanyolca ve Korece dahil olmak üzere birçok dilde gönderildiğini bildiriyor.
Her dil varyantı acil, korku uyandıran istemleri kullanır: tanınmayan giriş denemeleri, hesap kısıtlamaları veya zorunlu şifre sıfırlamaları.
Sosyal Mühendislik Taktikleri, 24 saat içinde harekete geçilmemenin hesap devre dışı bırakılmasına neden olacağına dair aciliyet ekler.
Saldırganlar, genellikle Facebook’un kurumsal markasına benzeyen veya popüler alt alanları hafif yazım hatalarıyla birleştiren isimleri seçerek spam filtreleri ve kara listelerden kaçmak için her gün yeni alanlar kaydeder.
Yönlendirmeyi takip ettikten sonra, kurbanlar Facebook’un giriş arayüzünü taklit eden bir sayfayla karşılaşır. Sahte Oturum Açma Portalı, e -posta veya telefon numarası için giriş alanları, şifre alanları ve “oturum aç” düğmesi dahil olmak üzere Facebook.com/login’de bulunan kesin düzeni tekrarlar. URL’deki ince farklılıklar – genellikle rastgele bir alfasayısal dize veya hafif bir yanlış yazma – çoğu kurban için çok kısaca görüntülenir.
Gönderilen kimlik bilgileri gerçek zamanlı olarak toplanır ve saldırganın komut ve kontrol sunucusuna iletilir ve anında hesap devralma veya daha fazla sömürü sağlar.
Hafifletme
Kuruluşlar ve bireysel kullanıcılar bu sofistike kimlik avı planına karşı savunmak için birkaç adım atabilirler.
İlk olarak, çalışanları ve kişisel temasları meşru yönlendirmelerin kötüye kullanılması konusunda eğitin. Kullanıcılar, yalnızca regirect öncesi etki alanına güvenmek yerine hedef URL sonrası regirect sonrası denetlemelidir.
İkincisi, tüm Facebook ve e-posta hesapları için çok faktörlü kimlik doğrulama (MFA) uygulayın. Kimlik bilgileri tehlikeye atılsa bile, MFA yetkisiz erişimi önleyebilir.
Üçüncüsü, şüpheli yönlendirme parametreleri içeren bağlantıları yeniden yazma veya karantinaya çıkarabilen e -posta güvenlik ağ geçitlerini dağıtın.
Gelişmiş Tehdit İstihbarat Beslemeleri, Masquerade’in güvenilir markalar olarak yeni kayıtlı alanların belirlenmesine yardımcı olabilir.
Buna ek olarak, güvenlik ekipleri Facebook’tan geldiğini iddia eden sahte mesajlardaki sivri uçları izlemeli ve Facebook.com/flx/warn desenlerini işaretlemek üzere URL filtreleme politikalarını güncellemelidir.
Son kullanıcılar, tarayıcıları ve akshitler önleme uzantılarını güncel tutarak kimlik avı denemelerini doğrudan bildirebilirler.
Kimlik avı kampanyaları gelişmeye devam ettikçe, kullanıcıları korumak için tasarlanmış güvenlik özelliklerinden yararlanarak, uyanıklık kritik olmaya devam etmektedir. Kuruluşlar, kullanıcı farkındalık eğitimini, sağlam kimlik doğrulama kontrollerini ve proaktif e -posta filtrelemesini birleştirerek, kuruluşlar bu aldatıcı saldırıların sağladığı riski azaltabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.