Будьте обережні – масові підозрілі посилання від шахраїв через Фейсбук

CERT-UA повідомляє про розсилку підозрілих посилань, при відкритті яких завантажується код для викрадення автентифікаційних даних користувачів Facebook.

Поширення посилань для викрадення особистих даних у мережі Facebook

CERT-UA, урядова команда реагування на комп’ютерні надзвичайні події України на своїй сторінці у мережі Facebook повідомляє про масштабне поширення підозрілих лінків. Також команда наводить приклади посилань, які краще не відкривати:

• «hxxps://rwi2v[.]eu/Q2ll44T5wJ»

CERT-UA провела дослідження згаданих підозрілих посилань та повідомляє, що відкриття розміщених за ними сторінок викликає перехід на іншу сторінку та автоматичне завантаження на пристрій користувача коду JavaScript. Цей код візуально відповідає вікну авторизації соціальної мережі Facebook. За допомогою такої імітації сторінки автентифікації зловмисники збирають дані для проведення автентифікацїі користувачів.

Зауважимо, що окрім логіну та пароля, це одночасно надає викрадачам номер телефону або електронну пошту, а також дані, дозвіл на використання яких ви надали мережі фейсбук, серед іншого, також і дані платіжної картки (наприклад, якщо ви оплачували рекламу в мережі) тощо.

Команда CERT-UA  оприлюднила також механізм викрадення даних:

1. при відкритті посилання через браузер мобільного пристрою завантажується HTML-сторінка;
2. сторінка відкриває іншу URL-адреси з доменом  «87yc[.]xyz»;
3. здійснюється завантаження та виконання додаткового коду. JavaScript;
4. код імітує сторінку авторизації Facebook та вивантажує введені користувачем дані для аутентифікації в соцмережі;
5. встановлений фільтр для не мобільних пристроїв за шириною екрана — якщо ширина становить понад 800 пікселів, відбудеться перенаправлення на сторінку «hxxps://www.youtube[.]com/»;

Чи пов’язане поширення підозрілих посилань з кібер атаками 14 січня та 15 лютого?

За даними, оприлюдненими CERT-UA доменне ім’я «rwi2v[.]eu» створене 2022-02-04 та асоційоване з email-адресою «theone2716@gmail[.]com», з якою асоційовано ще 7 схожих доменних імен, що були створені протягом листопада та грудня 2021 року. Відповідні дії веде невизначена група осіб «TеamLucernaRD»  з листопада 2021 року. Діяльність наразі спрямована на викрадення аутентифікаційних даних користувачів Facebook.

CERT-UA не виявила стосунку цієї активності до кібер атак на банки та інформаційні ресурси України 15 лютого 2022 року.

Додатково CERT-UA рекомендує:

• не відкривати підозрілих посилань в соціальних мережах, пошті і так далі;
• використовувати двофакторну аутентифікацію.

Також рекомендується не використовувати однакові дані для автентифікації у різних мережах, додатках, сайтах тощо. Наведено також індикатори компрометації та зразки коду:

• hxxps://87yc[.]xyz/?api=1&lan=fbnewold&ht=1&c=geraldking13&user=geraldking1321
• https://87yc[.]xyz/save.php?api=1&lan=fbnewold&ht=1&c=geraldking13&user=geraldking1321
• rwi2v[.]eu 2022-02-04
• v0k[.]us 2021-11-19
• t7s[.]us 2021-11-19
• r0m[.]us 2021-11-19
• j0r[.]us 2021-11-19
• f1r[.]us 2021-11-19
• fr7c[.]us 2021-12-11
• i0t[.]us 2021-12-11
• 87yc[.]xyz 2022-02-01

(натисніть для перегляду)

 Інші важливі новини за останній час

Вас можуть зацікавити такі статті:

• З’явилась типова форма обліку доходів та витрат для ФОП платників ПДВ 3 групи. Розглядаємо, що передбачає типова форма 
• Оновлено Перелік №1336 — від обов’язку використання РРО з 11 лютого 2022 звільнено підприємців, які реалізують товари та надають послуги з передбачених Переліком на території сіл та селищ 
• Нові податкові накладні та розрахунки коригування вступають в силу 16 лютого. З’явились ідентифікатори для подання форм в е-вигляді 
• ФСС про порядок нарахування та виплати матеріальної допомоги по тимчасовій непрацездатності та затримку виплати лікарняних