Киберпреступники, промышляющие угоном паролей, постоянно придумывают все новые и новые способы доставки фишинговых писем.
Например, они научились использовать легитимные функции Facebook* для отправки жертвам фейковых уведомлений о блокировке их бизнес-аккаунтов. Рассказываем, как работает эта схема, на что следует обращать внимание и какие меры стоит предпринять для защиты корпоративных учетных записей в соцсетях.
Письмо, действительно отправленное настоящим Facebook*, в котором содержится фейковое предупреждение о неприятностях с аккаунтом
К этому добавлены еще и другие слова, которые в сочетании с вышеприведенным текстом выглядят странно. Но в спешке или панике менеджер, ответственный за работу с Facebook*, может не обратить внимания на эти странности — и поспешит перейти по ссылке, либо вручную открыв Facebook* в браузере, либо кликнув на одну из кнопок в письме.
В последнем случае он также попадет в Facebook* — ведь письмо настоящее, так что и кнопки честно ведут на настоящий сайт. Однако там его будет ждать уведомление — с уже знакомой оранжевой иконкой и все тем же угрожающим заголовком: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
Фишинговое уведомление внутри соцсети рассказывает о блокировке аккаунта жертвы из-за несоответствия условиям предоставления услуг
В уведомлении деталей больше: якобы аккаунт и страница будут заблокированы, поскольку кто-то пожаловался на их несоответствие условиям предоставления услуг. Далее жертве предлагается перейти по ссылке, чтобы оспорить блокировку учетной записи.
Если это сделать, то откроется сайт (для разнообразия украшенный логотипом Meta*, а не Facebook), на странице которого написано примерно то же самое, что и в уведомлении, однако отпущенное на решение проблемы время составляет уже не 24 часа, а всего лишь 12. Мы подозреваем, что на этот раз мошенники используют логотип Meta*, потому что они пробуют аналогичные схемы на других платформах Meta*. мы нашли в Instagram* как минимум одну «локацию» с таким же названием – «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
На фишинговой странице, расположенной уже вне Facebook*, жертве предлагают обжаловать блокировку
После нажатия кнопки «Начать» посетитель через серию редиректов попадает на страницу с формой, в которой для начала его просят ввести сравнительно невинные данные: название страницы, имя и фамилию, номер телефона и дату рождения.
На втором экране фишингового сайта от жертвы требуют ввести некоторое количество персональных данных
Однако уже на следующем экране наступает кульминация: требуется ввести адрес почты или номер телефона, к которым привязан аккаунт Facebook* и пароль. Как несложно догадаться, именно эти данные и являются желанной добычей злоумышленников.
Злоумышленники довольно быстро переходят к делу и требуют ввести логин и пароль от аккаунта Facebook*
Злоумышленники меняют в угнанном аккаунте Facebook* имя и картинку профиля
После этого от имени аккаунта публикуется то самое сообщение, описывающее блокировку аккаунта. В нижней части этого сообщения после нескольких десятков пустых строчек ставится упоминание страницы жертвы. По умолчанию оно скрыто, но если кликнуть в фишинговом посте по ссылке «Увидеть больше», то отметку становится видно.
Фокус в том, что в конце поста злоумышленники добавляют максимально незаметную отметку атакуемого бизнес-аккаунта Facebook*
Такие сообщения злоумышленники публикуют от имени угнанного аккаунта сразу в большом количестве, в каждом из них ставится упоминание одного из атакуемых ими бизнес-аккаунтов.
Угнанный аккаунт создает множество публикаций, в каждой из которых отмечен аккаунт какой-нибудь организации
В результате Facebook* заботливо отправляет уведомления всем учетным записям, упомянутым в этих постах, — как внутри самой соцсети, так и на привязанные к этим аккаунтам почтовые адреса. А поскольку для доставки используется настоящая инфраструктура Facebook*, эти уведомления гарантированно доходят до адресатов.
Вот что мы советуем для защиты корпоративных учетных записей в соцсетях.
Например, они научились использовать легитимные функции Facebook* для отправки жертвам фейковых уведомлений о блокировке их бизнес-аккаунтов. Рассказываем, как работает эта схема, на что следует обращать внимание и какие меры стоит предпринять для защиты корпоративных учетных записей в соцсетях.
Как происходит фишинговая атака на бизнес-аккаунты Facebook*
Начинается все с того, что на электронную почту, привязанную к корпоративному аккаунту Facebook*, приходит письмо, действительно отправленное соцсетью. Внутри содержится угрожающая иконка с восклицательным знаком и тревожный текст: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Письмо, действительно отправленное настоящим Facebook*, в котором содержится фейковое предупреждение о неприятностях с аккаунтом
К этому добавлены еще и другие слова, которые в сочетании с вышеприведенным текстом выглядят странно. Но в спешке или панике менеджер, ответственный за работу с Facebook*, может не обратить внимания на эти странности — и поспешит перейти по ссылке, либо вручную открыв Facebook* в браузере, либо кликнув на одну из кнопок в письме.
В последнем случае он также попадет в Facebook* — ведь письмо настоящее, так что и кнопки честно ведут на настоящий сайт. Однако там его будет ждать уведомление — с уже знакомой оранжевой иконкой и все тем же угрожающим заголовком: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Фишинговое уведомление внутри соцсети рассказывает о блокировке аккаунта жертвы из-за несоответствия условиям предоставления услуг
В уведомлении деталей больше: якобы аккаунт и страница будут заблокированы, поскольку кто-то пожаловался на их несоответствие условиям предоставления услуг. Далее жертве предлагается перейти по ссылке, чтобы оспорить блокировку учетной записи.
Если это сделать, то откроется сайт (для разнообразия украшенный логотипом Meta*, а не Facebook), на странице которого написано примерно то же самое, что и в уведомлении, однако отпущенное на решение проблемы время составляет уже не 24 часа, а всего лишь 12. Мы подозреваем, что на этот раз мошенники используют логотип Meta*, потому что они пробуют аналогичные схемы на других платформах Meta*. мы нашли в Instagram* как минимум одну «локацию» с таким же названием – «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».
Для просмотра ссылки необходимо нажать
Вход или Регистрация
На фишинговой странице, расположенной уже вне Facebook*, жертве предлагают обжаловать блокировку
После нажатия кнопки «Начать» посетитель через серию редиректов попадает на страницу с формой, в которой для начала его просят ввести сравнительно невинные данные: название страницы, имя и фамилию, номер телефона и дату рождения.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
На втором экране фишингового сайта от жертвы требуют ввести некоторое количество персональных данных
Однако уже на следующем экране наступает кульминация: требуется ввести адрес почты или номер телефона, к которым привязан аккаунт Facebook* и пароль. Как несложно догадаться, именно эти данные и являются желанной добычей злоумышленников.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Злоумышленники довольно быстро переходят к делу и требуют ввести логин и пароль от аккаунта Facebook*
Как данная фишинговая схема эксплуатирует реальную инфраструктуру Facebook*
Теперь поговорим о том, как же злоумышленники заставляют Facebook* отправлять для них фишинговые уведомления. Для этого они используют угнанные учетные записи Facebook*. Аккаунту меняют имя — им становится тот самый тревожный заголовок, то есть 24 Hours Left To Request Review. See Why. Также злоумышленники меняют изображение профиля, подбирая его таким образом, чтобы в превью получился оранжевый значок с восклицательным знаком, уже знакомый нам по письму и уведомлению.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Злоумышленники меняют в угнанном аккаунте Facebook* имя и картинку профиля
После этого от имени аккаунта публикуется то самое сообщение, описывающее блокировку аккаунта. В нижней части этого сообщения после нескольких десятков пустых строчек ставится упоминание страницы жертвы. По умолчанию оно скрыто, но если кликнуть в фишинговом посте по ссылке «Увидеть больше», то отметку становится видно.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Фокус в том, что в конце поста злоумышленники добавляют максимально незаметную отметку атакуемого бизнес-аккаунта Facebook*
Такие сообщения злоумышленники публикуют от имени угнанного аккаунта сразу в большом количестве, в каждом из них ставится упоминание одного из атакуемых ими бизнес-аккаунтов.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Угнанный аккаунт создает множество публикаций, в каждой из которых отмечен аккаунт какой-нибудь организации
В результате Facebook* заботливо отправляет уведомления всем учетным записям, упомянутым в этих постах, — как внутри самой соцсети, так и на привязанные к этим аккаунтам почтовые адреса. А поскольку для доставки используется настоящая инфраструктура Facebook*, эти уведомления гарантированно доходят до адресатов.
Как защитить от угона корпоративные аккаунты в социальных сетях
Заметим, что фишинг является не единственной угрозой для корпоративных аккаунтов. Также существует целый класс вредоносного ПО, которое специально создается
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, — такие зловреды называются стилерами (password stealers). Кроме того, для тех же целей злоумышленники могут использовать браузерные расширения — не так давно мы рассказывали об
Для просмотра ссылки необходимо нажать
Вход или Регистрация
.Вот что мы советуем для защиты корпоративных учетных записей в соцсетях.
- Обязательно используйте двухфакторную аутентификацию везде, где есть такая возможность.
- Внимательно относитесь к уведомлениям о попытках подозрительного входа в аккаунты.
- Используйте надежные и уникальные пароли. Для их генерации и хранения лучше всего воспользоваться менеджером паролей.
- Тщательно проверяйте адреса страниц, на которых вас просят ввести пароль от учетной записи: если есть хотя бы малейшие подозрения в том, что сайт поддельный, пароль вводить не стоит.
- Используйте на всех рабочих устройствах надежную защиту, которая вовремя предупредит об опасности и заблокирует действия вредоносных программ и браузерных расширений.
Для просмотра ссылки необходимо нажать
Вход или Регистрация