Будьте осторожны – массовые подозрительные ссылки от мошенников через Фейсбук

Поделиться

CERT-UA сообщает о рассылке подозрительных ссылок, при открытии которых загружается код для хищения аутентификационных данных пользователей Facebook.

Распространение ссылок для похищения личных данных в сети Facebook

CERT-UA, правительственная команда реагирования на чрезвычайные события Украины на своей странице в сети Facebook сообщает о масштабном распространении подозрительных ссылок. Также команда приводит примеры ссылок, которые лучше не открывать:

  • «hxxps://rwi2v[.]eu/Q2ll44T5wJ»

CERT-UA провела исследование упомянутых подозрительных ссылок и сообщает, что открытие размещенных по ним страниц вызывает переход на другую страницу и автоматическую загрузку на устройство пользователя кода JavaScript. Этот код визуально соответствует окну авторизации социальной сети Facebook. С помощью такой имитации страницы аутентификации злоумышленники собирают данные для проведения аутентификации пользователей.

Заметим, что кроме логина и пароля, это одновременно предоставляет похитителям номер телефона или электронную почту, а также данные, разрешение на использование которых вы предоставили сети фейсбук, среди прочего также данные платежной карты (например, если вы оплачивали рекламу в сети) и т.д.

Команда CERT-UA обнародовала также механизм похищения данных:

  1. при открытии ссылки через браузер мобильного устройства загружается HTML страница;
  2. страница открывает другой URL-адрес с доменом «87yc[.]xyz»;
  3. производится загрузка и выполнение дополнительного кода. JavaScript;
  4. код имитирует страницу авторизации Facebook и выгружает введенные пользователем данные для аутентификации в соцсети;
  5. установлен фильтр для не мобильных устройств по ширине экрана — если ширина составляет более 800 пикселей, произойдет перенаправление на страницу hxxps://www.youtube[.]com/;

Связано ли распространение подозрительных ссылок с кибер атаками 14 января и 15 февраля?

По данным, обнародованным CERT-UA доменное имя «rwi2v[.]eu» создано 2022-02-04 и ассоциировано с email-адресом «theone2716@gmail[.]com», с которым ассоциировано еще 7 подобных доменных имен, что были созданы в течение ноября и декабря 2021 года. Соответствующие действия ведет неопределенная группа лиц TeamLucernaRD с ноября 2021 года. Деятельность направлена ​​на похищение аутентификационных данных пользователей Facebook.

CERT-UA не выявила отношения этой активности к кибер атакам на банки и информационные ресурсы Украины 15 февраля 2022 года.

Дополнительно CERT-UA рекомендует:

  • не открывать подозрительных ссылок в социальных сетях, почте и т.д.;
  • использовать двухфакторную аутентификацию.

Также рекомендуется не использовать одинаковые данные для проверки подлинности в различных сетях, приложениях, сайтах и ​​т.д. Приведены также индикаторы компрометации и образцы кода:

  • hxxps://87yc[.]xyz/?api=1&lan=fbnewold&ht=1&c=geraldking13&user=geraldking1321
  • https://87yc[.]xyz/save.php?api=1&lan=fbnewold&ht=1&c=geraldking13&user=geraldking1321
  • rwi2v[.]eu 2022-02-04
  • v0k[.]us 2021-11-19
  • t7s[.]us 2021-11-19
  • r0m[.]us 2021-11-19
  • j0r[.]us 2021-11-19
  • f1r[.]us 2021-11-19
  • fr7c[.]us 2021-12-11
  • i0t[.]us 2021-12-11
  • 87yc[.]xyz 2022-02-01

(кликните для просмотра)

Будьте обережні - масові підозрілі посилання від шахраїв через Фейсбук

 Другие важные новости за последнее время

Вас могут заинтересовать следующие статьи:

Следите за нами
Поделиться
Комментарии

Комментариев пока нет ...

Полезные статьи