Угон паролей от бизнес-аккаунтов социальной сети | Блог Касперского

Используя дыру в Facebook* злоумышленники заставляют соцсеть рассылать фишинговые письма с фейковыми уведомлениями о блокировке бизнес-аккаунтов.

Киберпреступники, промышляющие угоном паролей, постоянно придумывают все новые и новые способы доставки фишинговых писем. Например, они научились использовать легитимные функции Facebook* для отправки жертвам фейковых уведомлений о блокировке их бизнес-аккаунтов. Рассказываем, как работает эта схема, на что следует обращать внимание и какие меры стоит предпринять для защиты корпоративных учетных записей в соцсетях.

Как происходит фишинговая атака на бизнес-аккаунты Facebook*

Начинается все с того, что на электронную почту, привязанную к корпоративному аккаунту Facebook*, приходит письмо, действительно отправленное соцсетью. Внутри содержится угрожающая иконка с восклицательным знаком и тревожный текст: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».

Письмо, действительно отправленное настоящим Facebook*, в котором содержится фейковое предупреждение о неприятностях с аккаунтом

К этому добавлены еще и другие слова, которые в сочетании с вышеприведенным текстом выглядят странно. Но в спешке или панике менеджер, ответственный за работу с Facebook*, может не обратить внимания на эти странности — и поспешит перейти по ссылке, либо вручную открыв Facebook* в браузере, либо кликнув на одну из кнопок в письме.

В последнем случае он также попадет в Facebook* — ведь письмо настоящее, так что и кнопки честно ведут на настоящий сайт. Однако там его будет ждать уведомление — с уже знакомой оранжевой иконкой и все тем же угрожающим заголовком: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».

Фишинговое уведомление внутри соцсети рассказывает о блокировке аккаунта жертвы из-за несоответствия условиям предоставления услуг

В уведомлении деталей больше: якобы аккаунт и страница будут заблокированы, поскольку кто-то пожаловался на их несоответствие условиям предоставления услуг. Далее жертве предлагается перейти по ссылке, чтобы оспорить блокировку учетной записи.

Если это сделать, то откроется сайт (для разнообразия украшенный логотипом Meta**, а не Facebook*), на странице которого написано примерно то же самое, что и в уведомлении, однако отпущенное на решение проблемы время составляет уже не 24 часа, а всего лишь 12. Мы подозреваем, что на этот раз мошенники используют логотип Meta**, потому что они пробуют аналогичные схемы на других платформах Meta**. мы нашли в Instagram* как минимум одну «локацию» с таким же названием – «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».

На фишинговой странице, расположенной уже вне Facebook*, жертве предлагают обжаловать блокировку

После нажатия кнопки «Начать» посетитель через серию редиректов попадает на страницу с формой, в которой для начала его просят ввести сравнительно невинные данные: название страницы, имя и фамилию, номер телефона и дату рождения.

На втором экране фишингового сайта от жертвы требуют ввести некоторое количество персональных данных

Однако уже на следующем экране наступает кульминация: требуется ввести адрес почты или номер телефона, к которым привязан аккаунт Facebook* и пароль. Как несложно догадаться, именно эти данные и являются желанной добычей злоумышленников.

Злоумышленники довольно быстро переходят к делу и требуют ввести логин и пароль от аккаунта Facebook*

Как данная фишинговая схема эксплуатирует реальную инфраструктуру Facebook*

Теперь поговорим о том, как же злоумышленники заставляют Facebook* отправлять для них фишинговые уведомления. Для этого они используют угнанные учетные записи Facebook*. Аккаунту меняют имя — им становится тот самый тревожный заголовок, то есть 24 Hours Left To Request Review. See Why. Также злоумышленники меняют изображение профиля, подбирая его таким образом, чтобы в превью получился оранжевый значок с восклицательным знаком, уже знакомый нам по письму и уведомлению.

Злоумышленники меняют в угнанном аккаунте Facebook* имя и картинку профиля

После этого от имени аккаунта публикуется то самое сообщение, описывающее блокировку аккаунта. В нижней части этого сообщения после нескольких десятков пустых строчек ставится упоминание страницы жертвы. По умолчанию оно скрыто, но если кликнуть в фишинговом посте по ссылке «Увидеть больше», то отметку становится видно.

Фокус в том, что в конце поста злоумышленники добавляют максимально незаметную отметку атакуемого бизнес-аккаунта Facebook*

Такие сообщения злоумышленники публикуют от имени угнанного аккаунта сразу в большом количестве, в каждом из них ставится упоминание одного из атакуемых ими бизнес-аккаунтов.

Угнанный аккаунт создает множество публикаций, в каждой из которых отмечен аккаунт какой-нибудь организации

В результате Facebook* заботливо отправляет уведомления всем учетным записям, упомянутым в этих постах, — как внутри самой соцсети, так и на привязанные к этим аккаунтам почтовые адреса. А поскольку для доставки используется настоящая инфраструктура Facebook*, эти уведомления гарантированно доходят до адресатов.

Как защитить от угона корпоративные аккаунты в социальных сетях

Заметим, что фишинг является не единственной угрозой для корпоративных аккаунтов. Также существует целый класс вредоносного ПО, которое специально создается для кражи паролей, — такие зловреды называются стилерами (password stealers). Кроме того, для тех же целей злоумышленники могут использовать браузерные расширения — не так давно мы рассказывали об угоне бизнес-аккаунтов Facebook* с их использованием.

Вот что мы советуем для защиты корпоративных учетных записей в соцсетях.

• Обязательно используйте двухфакторную аутентификацию везде, где есть такая возможность.
• Внимательно относитесь к уведомлениям о попытках подозрительного входа в аккаунты.
• Используйте надежные и уникальные пароли. Для их генерации и хранения лучше всего воспользоваться менеджером паролей.
• Тщательно проверяйте адреса страниц, на которых вас просят ввести пароль от учетной записи: если есть хотя бы малейшие подозрения в том, что сайт поддельный, пароль вводить не стоит.
• Используйте на всех рабочих устройствах надежную защиту, которая вовремя предупредит об опасности и заблокирует действия вредоносных программ и браузерных расширений.

*Instagram и Facebook принадлежат компании Meta**, признанной экстремистской организацией в Российской Федерации.

** Компания Meta признана экстремистской организацией в Российской Федерации.

14.06.2024