Търсене
Close this search box.

Зловредни чатботове в Messenger крадат Facebook акаунти

Нова фишинг атака използва чатботове на Facebook Messenger, за да се представя за екипа за поддръжка на компанията и да открадне идентификационни данни, използвани за управление на страници във Facebook.

Чатботите са програми, които се представят за хора за поддръжка на живо и обикновено се използват за предоставяне на отговори на прости въпроси или сортиране на случаи на поддръжка на клиенти, преди да бъдат предадени на жив служител.

В нова кампания, открита от TrustWave , хакерите използват чатботове, за да откраднат идентификационни данни на мениджъри на страници във Facebook, които обикновено се използват от компаниите за предоставяне на поддръжка или популяризиране на техните услуги.

Чатботове във Facebook Messenger

Фишинг атаката започва с имейл, информиращ получателя, че страницата му във Facebook е нарушила стандартите на общността, което му дава 48 часа да обжалва решението, или страницата  ще бъде изтрита.

На потребителя се предлага шанс да разреши проблема в центъра за поддръжка на Facebook и за да получи достъп до него, той е  поканен да щракне върху бутон „Обжалване сега“(Appeal Now).

Phishing email sent to random targets

Щракването върху този бутон отвежда жертвата към разговор в Messenger, където чатбот се представя за агент за поддръжка на клиенти на Facebook.

The phishing chatbot on Messenger

Facebook страницата, свързана с чатбота, е стандартна бизнес страница с нула последователи и без публикации. Ако обаче жертвата провери профила, ще види съобщение, че той е „Много отзивчив към съобщения“, което показва, че се използва активно.

Chatbot's Facebook account page

Чатботът ще изпрати на жертвата бутон „Обжалване сега“ в Messenger, който я отвежда  до уебсайт, маскиран като „Входяща кутия за поддръжка на Facebook“, но URL адресът не е част от домейна на Facebook. Освен това, както отбелязва TrustWave, номерът на случая на тази страница не съвпада с този, представен от чатбота по-рано, но тези подробности все още са с малка  вероятност да изложат измамата пред паникьосани потребители.

Основната страница за фишинг, показана по-долу, изисква от потребителите, които искат да обжалват решението за изтриване на страницата, да въведат своя имейл адрес, пълно име, име на страница и телефонен номер.

Form requesting user data

След като тези данни бъдат въведени в полетата и е натиснат бутон „Изпращане“, се появява изскачащ прозорец с искане за парола за акаунт. След това цялата информация се изпраща към базата данни на хакерите чрез POST заявка.

Pop-up window requesting account password

Накрая жертвата е пренасочена към фалшива 2FA страница, където е приканена да въведе OTP код, който е получила чрез SMS на предоставения телефонен номер. Тази страница ще приеме всичко, така че е там, за да създаде фалшиво усещане за легитимност.

 

Fake OTP step page

След проверката жертвите попадат на действителна страница във Facebook, съдържаща указания за интелектуална собственост и авторски права, които се предполага, че са свързани с нарушението на потребителя.

Тъй като фишинг атаката е автоматизирана, действителната експлоатация на откраднатите идентификационни данни може да дойде на по-късна фаза, така че хакерите трябва да създадат това фалшиво усещане за легитимност в умовете на жертвите, за да забавят всякакви действия за отстраняване на нарушението.

В престъпните схеми все по-често използват чатботове при фишинг атаки, за да автоматизират кражбата на идентификационни данни и да увеличат обема на своите операции, без да изразходват значителни ресурси или време.

Тези видове измами са по-трудни за откриване, тъй като много сайтове използват AI и чатботове като част от страниците си за поддръжка, което ги прави да изглеждат нормални, когато става въпрос  за поддръжка. Както винаги, най-добрата линия на защита срещу фишинг атаки е да се анализират всички URL адреси за страници, изискващи идентификационни данни за вход, и ако домейните не съвпадат с обикновения URL адрес на легитимния сайт, тогава не въвеждайте никакви идентификационни данни на този сайт.

Снимки: TrustWave

 

Източник: По материали от Интернет

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...
Бъдете социални
Още по темата
14/02/2024

200 000 записа на потребите...

Хакер публикува 200 000 записа в...
16/01/2024

Фалшиви специалисти по наби...

Измамниците се насочват към множество марки...
24/12/2023

Недостатъчни мерки за защит...

Най-големите марки на Meta, включително Facebook...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!