Угон паролей от бизнес-аккаунтов социальной сети

Злоумышленники используют настоящую инфраструктуру Facebook* для рассылки фишинговых писем с угрозами блокировки аккаунтов.

Фишинговые уведомления от и угон паролей от бизнес-аккаунтов

Киберпреступники, промышляющие угоном паролей, постоянно придумывают все новые и новые способы доставки фишинговых писем. Например, они научились использовать легитимные функции Facebook* для отправки жертвам фейковых уведомлений о блокировке их бизнес-аккаунтов. Рассказываем, как работает эта схема, на что следует обращать внимание и какие меры стоит предпринять для защиты корпоративных учетных записей в соцсетях.

Как происходит фишинговая атака на бизнес-аккаунты Facebook*

Начинается все с того, что на электронную почту, привязанную к корпоративному аккаунту Facebook*, приходит письмо, действительно отправленное соцсетью. Внутри содержится угрожающая иконка с восклицательным знаком и тревожный текст: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».

Письмо с предупреждением о блокировке корпоративного аккаунта

Письмо, действительно отправленное настоящим Facebook*, в котором содержится фейковое предупреждение о неприятностях с аккаунтом

К этому добавлены еще и другие слова, которые в сочетании с вышеприведенным текстом выглядят странно. Но в спешке или панике менеджер, ответственный за работу с Facebook*, может не обратить внимания на эти странности — и поспешит перейти по ссылке, либо вручную открыв Facebook* в браузере, либо кликнув на одну из кнопок в письме.

В последнем случае он также попадет в Facebook* — ведь письмо настоящее, так что и кнопки честно ведут на настоящий сайт. Однако там его будет ждать уведомление — с уже знакомой оранжевой иконкой и все тем же угрожающим заголовком: «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».

Фишинговое уведомление

Фишинговое уведомление внутри соцсети рассказывает о блокировке аккаунта жертвы из-за несоответствия условиям предоставления услуг

В уведомлении деталей больше: якобы аккаунт и страница будут заблокированы, поскольку кто-то пожаловался на их несоответствие условиям предоставления услуг. Далее жертве предлагается перейти по ссылке, чтобы оспорить блокировку учетной записи.

Если это сделать, то откроется сайт (для разнообразия украшенный логотипом Meta**, а не Facebook*), на странице которого написано примерно то же самое, что и в уведомлении, однако отпущенное на решение проблемы время составляет уже не 24 часа, а всего лишь 12. Мы подозреваем, что на этот раз мошенники используют логотип Meta**, потому что они пробуют аналогичные схемы на других платформах Meta**. мы нашли в Instagram* как минимум одну «локацию» с таким же названием – «Осталось 24 часа, чтобы запросить проверку. Узнайте почему».

Фишинговая страница для обжалования блокировки аккаунта

На фишинговой странице, расположенной уже вне Facebook*, жертве предлагают обжаловать блокировку

После нажатия кнопки «Начать» посетитель через серию редиректов попадает на страницу с формой, в которой для начала его просят ввести сравнительно невинные данные: название страницы, имя и фамилию, номер телефона и дату рождения.

Форма ввода персональных данных на фишинговой странице

На втором экране фишингового сайта от жертвы требуют ввести некоторое количество персональных данных

Однако уже на следующем экране наступает кульминация: требуется ввести адрес почты или номер телефона, к которым привязан аккаунт Facebook* и пароль. Как несложно догадаться, именно эти данные и являются желанной добычей злоумышленников.

Форма ввода логина и пароля на фишинговой странице

Злоумышленники довольно быстро переходят к делу и требуют ввести логин и пароль от аккаунта Facebook*

Как данная фишинговая схема эксплуатирует реальную инфраструктуру Facebook*

Теперь поговорим о том, как же злоумышленники заставляют Facebook* отправлять для них фишинговые уведомления. Для этого они используют угнанные учетные записи Facebook*. Аккаунту меняют имя — им становится тот самый тревожный заголовок, то есть 24 Hours Left To Request Review. See Why. Также злоумышленники меняют изображение профиля, подбирая его таким образом, чтобы в превью получился оранжевый значок с восклицательным знаком, уже знакомый нам по письму и уведомлению.

Угнанный аккаунт, через который рассылаются фишинговые уведомления

Злоумышленники меняют в угнанном аккаунте Facebook* имя и картинку профиля

После этого от имени аккаунта публикуется то самое сообщение, описывающее блокировку аккаунта. В нижней части этого сообщения после нескольких десятков пустых строчек ставится упоминание страницы жертвы. По умолчанию оно скрыто, но если кликнуть в фишинговом посте по ссылке «Увидеть больше», то отметку становится видно.

Посты злоумышленников с отметками аккаунтов организаций

Фокус в том, что в конце поста злоумышленники добавляют максимально незаметную отметку атакуемого бизнес-аккаунта Facebook*

Такие сообщения злоумышленники публикуют от имени угнанного аккаунта сразу в большом количестве, в каждом из них ставится упоминание одного из атакуемых ими бизнес-аккаунтов.

Массовая публикация постов с отметками угнанным аккаунтом

Угнанный аккаунт создает множество публикаций, в каждой из которых отмечен аккаунт какой-нибудь организации

В результате Facebook* заботливо отправляет уведомления всем учетным записям, упомянутым в этих постах, — как внутри самой соцсети, так и на привязанные к этим аккаунтам почтовые адреса. А поскольку для доставки используется настоящая инфраструктура Facebook*, эти уведомления гарантированно доходят до адресатов.

Как защитить от угона корпоративные аккаунты в социальных сетях

Заметим, что фишинг является не единственной угрозой для корпоративных аккаунтов. Также существует целый класс вредоносного ПО, которое специально создается для кражи паролей, — такие зловреды называются стилерами (password stealers). Кроме того, для тех же целей злоумышленники могут использовать браузерные расширения — не так давно мы рассказывали об угоне бизнес-аккаунтов Facebook* с их использованием.

Вот что мы советуем для защиты корпоративных учетных записей в соцсетях.

  • Обязательно используйте двухфакторную аутентификацию везде, где есть такая возможность.
  • Внимательно относитесь к уведомлениям о попытках подозрительного входа в аккаунты.
  • Используйте надежные и уникальные пароли. Для их генерации и хранения лучше всего воспользоваться менеджером паролей.
  • Тщательно проверяйте адреса страниц, на которых вас просят ввести пароль от учетной записи: если есть хотя бы малейшие подозрения в том, что сайт поддельный, пароль вводить не стоит.
  • Используйте на всех рабочих устройствах надежную защиту, которая вовремя предупредит об опасности и заблокирует действия вредоносных программ и браузерных расширений.

 

*Instagram и Facebook принадлежат компании Meta**, признанной экстремистской организацией в Российской Федерации.

** Компания Meta признана экстремистской организацией в Российской Федерации.

Советы