01/06/22
Facebook стал излюбленным местом для злоумышленников, охотящихся на наивных членов интернет-сообщества. Поэтому издание Cybernews провело свое расследование , разобрав метод видеофишинга с использованием видео “Это ты?”.
Модель атаки довольно проста – хакер представлялся другом жертвы и отправлял фальшивое видео с подписью “Это ты?”. Нажав на видео, пользователь попадал на сайт, где должен был ввести личные данные, которые потом попадали в руки злоумышленника.
Недавно исследователи Cybernews были вознаграждены за свои попытки распутать мошенническую сеть, когда получили предупреждение от коллеги Эйдана Рэйни о том, что пользователям рассылаются вредоносные ссылки. В ходе дальнейшего расследования выяснилось, что тысячи фишинговых ссылок распространялись через сложную сеть, охватывающую внутренние каналы платформы популярных социальных сетей. Если бы исследователи не приняли меры, то жертв мошенников могло бы стать намного больше полумиллиона.
В своем заявлении Рейни сказал, что выяснил назначение серверов мошенников, где размещается код и смог понять как выявить дополнительные серверы. Исследователь использовал эту информацию и сайт urlscan.io для поиска других фишинговых ссылок, после чего передал данные Cybernews.
Тщательно изучив серверы, связанные с фишинговыми ссылками, исследователи из Cybernews нашли страницу, передающую учетные данные на devsbrp.app. Там был обнаружен баннер с надписью “panelfps by braunnypr”, прикрепленный к панели управления.
Повторный поиск по ключевым словам вывел группу исследователей прямо на разработчика панели и баннера. Узнав его адрес электронной почты и варианты паролей, исследователи получили доступ к веб-сайту, который оказался центром управления и контроля для большинства фишинговых атак. Это позволило получить информацию о виновниках фишинговой аферы в Facebook и передать ее в CERT Доминиканской Республики, где и началась мошенническая кампания.
