Yakın zamanda, Facebook kullanıcılarını, giriş bilgilerini hasat etmek için tasarlanmış özenle hazırlanmış e -postalarla hedefleyen sofistike bir kimlik avı kampanyası ortaya çıktı.
Saldırganlar platformun kendi harici URL uyarı sistemini kötü niyetli bağlantıları gizlemek için kullanır ve mağdurları Facebook oturum açma sayfalarına sahte olarak yönlendirirken meşru görünen URL’leri sunar.
İlk cazibe acil bir güvenlik bildirimi, “yetkisiz erişim denemeleri” kullanıcılarını uyarır veya hesap faaliyetlerini doğrulamalarını ister.
E -postanın tasarımı, sosyal medya simgeleri ve altbilgi feragatnameleriyle birlikte Facebook’un stilini yakından yansıtıyor, özgünlük duygusu yaratıyor ve alıcıları tereddüt etmeden tıklamaya yönlendiriyor.
.webp)
Kampanyanın erişimi, İngilizce, Almanca, İspanyolca ve Korece dahil olmak üzere birçok dili kapsıyor ve potansiyel kurban havuzunu genişletiyor.
Kimlik avı URL’leri sürekli olarak Facebook’un Redirektör Hizmeti (örneğin, httpst.co/MS24B2XU6P) aracılığıyla iletilen bir iyi huylu alan modellerini takip eder ve bu da saldırganların altyapısını yeniden yönlendirir.
SpiderLabs analistleri, düzinelerce e -posta örneğini inceledikten sonra bu tekniği tanımladılar ve yönlendirme mekanizmasının hem tarayıcılardan nasıl kaçtığını hem de kullanıcı şüphesini nasıl atladığını belirtti.
Bağlantıyı takip eden kurbanlar, gönderilen kimlik bilgilerinin derhal bir komut ve kontrol sunucusuna eklendiği Facebook’un giriş arayüzünün mükemmel bir kopyasını karşılıyor.
Başarılı bir gönderimde, sahte portal, kullanıcıların ayrıntılarına tekrar girmelerini isteyen ve saldırganlara ikinci denemede geçerli kimlik bilgileri tedarik etmek için kısa bir JavaScript snippet’i yürütür.
Toplanan veriler, tehdit aktörleri tarafından daha sonra alınmak için bir PHP arka uç komut dosyasında saklanan e -posta adreslerini, telefon numaralarını ve şifreleri içerir.
Yeniden yönlendirme tabanlı enfeksiyon mekanizması
Bu kimlik avı kampanyasının temel yeniliği, Facebook’un harici URL uyarı sistemini bir enfeksiyon mekanizması olarak kötüye kullanmasında yatmaktadır.
Saldırganlar, doğrudan kötü amaçlı alanlara bağlantı vermek yerine, formdan bir URL oluşturur:-
Verify Your Account
Bu bağlantı, Facebook’un L.Facebook.com’u yeniden yönlendirerek gerçek kimlik avı sitesini yerleştirir. u= parametre.
Tıklandığında, Facebook bir uyarı bayrağı sunar, ancak nihayetinde kurbanı kötü amaçlı sayfaya ileterek hedefe güvenilirlik kazandırır.
Kimlik avı sitesinde bir kez, HTML formu şu şekilde kimlik bilgilerini toplar:-
Upon submission, a JavaScript routine triggers a second redirect back to Facebook, displaying an error notice to the user and minimizing suspicion.
This redirect-based infection mechanism not only bypasses email security gateways but also exploits user trust in Facebook’s domain, making detection and prevention significantly more challenging.
Find this Story Interesting! Follow us on Google News, LinkedIn, and X to Get More Instant Updates.