Istraživači iz američke firme za Cyber Security PIXM, sa sjedištem u New Yorku, otkrili su veliku fishing operaciju koja je zloupotrebljavala Facebook i Messenger da bi namamila milione korisnika na stranice, na kojima su prevareni korisnici unosili podatke za prijavljivanje za svoje naloge i na kojima su im prikazivane reklame.
Odgovorni za ove napade su koristili ukradene Facebook naloge za slanje poruka prijateljima, a zarađivali su od provizija za oglašavanje na mreži. Kampanja je dostigla vrhunac u aprilu i maju 2022. godine, ali je počela mnogo ranije, vjerovatno u septembru 2021.
Iako je nepoznato kako je kampanja prvobitno započela, PIXM navodi da su žrtve stizale na fishing stranice nakon niza preusmjeravanja koja potiču sa Facebook Messengera.
Napadači su koristili automatizovane alate da šalju dalje fisihing linkove prijateljima kompromitovanog profila preko Facebook Messengera, pa je tako broj ukradenih naloga bio sve veći.
Iako Facebook ima zaštitne mjere da zaustavi širenje fishing linkova, organizatori ove kampanje su uspeli da zaobiđu ove zaštite koristeći legitimne servise za generisanja URL-ova kao što su litch.me, famous.co, amaze.co i funnel-preview.com, koje je teško blokirati jer ih koriste legitimne aplikacije.
Nakon što su otkrili da mogu da dobiju neautorizovan pristup stranicama sa statistikama o fishing kampanji, istraživači su otkrili da je 2021. 2,7 miliona korisnika posjetilo jedan od fishing sajtova. Ova cifra je porasla na 8,5 miliona u 2022.
Istraživači su identifikovali 405 jedinstvenih naloga od kojih svaki ima zasebnu Facebook stranicu za fishing. Stranice ovih naloga imale su od samo 4.000 pregleda do čak 6 miliona pregleda. Istraživači vjeruju da oni predstavljaju samo djelić naloga koji se koriste za kampanju.
Kada žrtva unese svoje podatke za prijavljivanje na fishing stranicu, počinje nova runda preusmjeravanja, koja ih vodi na stranice za oglašavanje, ankete itd.
Procjenjuje se da su oni koji stoje iza ove kampanje od ovih preusmjeravanja zaradili milione dolara.
PIXM je pronašao dokaze koji povezuju ovu kampanju sa webom koji je zaplijenjen i koji je dio istrage protiv Kolumbijca Rafaela Dorada, iako je nejasno ko je zaplijenio domen i postavio obavještenje na web. PIXM je podijelio rezultate svoje istrage sa kolumbijskom policijom i Interpolom, ali kako napominju, kampanja je i dalje u toku, iako mnogi otkriveni linkovi više ne rade.
