Истражувачите од американската компанија за сајбер безбедност PIXM, со седиште во Њујорк, открија голема операција за фишинг која злоупотребувала Фејсбук и Месинџер за да привлече милиони корисници на страници каде измамничките корисници внесувале информации за најавување за нивните сметки и каде што им прикажувале реклами.
Одговорните за овие напади користеле украдени сметки на Фејсбук за да испраќаат пораки до пријателите и заработувале од комисии за онлајн рекламирање. Кампањата го достигна својот врв во април и мај 2022 година, но започна многу порано, веројатно во септември 2021 година.
Иако не е познато како првично започнала кампањата, PIXM наведува дека жртвите пристигнале на страниците за фишинг по серија пренасочувања кои потекнуваат од Facebook Messenger.
Напаѓачите користеле автоматизирани алатки за да испратат дополнителни фишинг врски до пријателите на компромитираниот профил преку Facebook Messenger, така што бројот на украдени сметки се зголемувал.
Иако Facebook има заштитни мерки за да го запре ширењето на фишинг врски, организаторите на оваа кампања успеаја да ги заобиколат овие заштити користејќи легитимни услуги за генерирање URL, како што се litch.me, fam.co, amaze.co и funnel-preview.com. кои е тешко да се блокираат бидејќи се користат од легитимни апликации.
Откако открија дека можат да добијат неовластен пристап до страниците за статистика на кампањи за фишинг, истражувачите открија дека во 2021 година, 2,7 милиони корисници посетиле една од страниците за фишинг. Оваа бројка се искачи на 8,5 милиони во 2022 година.
Истражувачите идентификуваа 405 уникатни сметки, секоја со посебна страница за фишинг на Facebook. Страниците на овие сметки имаа од само 4.000 прегледи до дури 6 милиони прегледи. Истражувачите веруваат дека тие претставуваат само мал дел од сметките користени за кампањата.
Кога жртвата ќе ги внесе своите детали за најавување на страницата за фишинг, започнува нова рунда на пренасочувања, што ја води до рекламни страници, анкети итн.
Се проценува дека оние кои стојат зад оваа кампања заработиле милиони долари од овие пренасочувања.
PIXM најде докази кои ја поврзуваат кампањата со запленетиот сајт кој е дел од истрагата против Колумбиецот Рафаел Дорадо, иако не е јасно кој го запленил доменот и објавил известување на страницата. PIXM ги сподели резултатите од својата истрага со колумбиската полиција и Интерпол, но како што забележуваат, кампањата сè уште трае, иако многу од протечените врски повеќе не функционираат.