Phishing Facebook: Rubate più di 615.000 credenziali

Rubate più di 615000 credenziali con Facebook

I ricercatori di ThreatNix, una società di sicurezza informatica Nepalese, hanno scoperto una campagna di phishing su larga scala che, utilizzando annunci Facebook mirati e pagine su GitHub, ha interessato più di 615.000 utenti. 

La campagna di phishing su Facebook

La campagna utilizza post di Facebook localizzati e pagine che falsificano entità legittime e annunci mirati per paesi specifici.

Gli autori delle minacce hanno utilizzato gli annunci di Facebook per reindirizzare gli utenti verso Github che ospita le pagine di phishing utilizzate per rubare le credenziali di accesso alle vittime.

La pagina che ha pubblicato l’annuncio utilizzava l’immagine del profilo e il nome di Nepal Telecom ed era quasi indistinguibile dalla pagina legittima. Sono stai visti post di simili rivolti agli utenti di Facebook della Tunisia, Egitto, Filippine, Pakistan, ecc.

“I nostri ricercatori hanno scoperto per la prima volta la campagna tramite un post di Facebook, sponsorizzato da Nepal Telecom, che offriva 3 GB di dati mobili e reindirizzava a un sito di phishing ospitato sulle pagine di GitHub”  si legge nel post pubblicato da Threatnix.

I truffatori hanno utilizzato uno stratagemma per evitare il rilevamento. I cybercriminali usano un URL abbreviato  che, inizialmente punta a una pagina benigna, ma viene modificato dopo l’approvazione degli annunci.

“Facebook prende misure per assicurarsi che tali pagine di phishing non siano approvate per gli annunci, ma in questo caso i truffatori hanno utilizzato i link di Bitly che, inizialmente indicavano una pagina benigna, e, una volta che l’annuncio è stato approvato, veniva modificata per puntare al  dominio di phishing” continua il post.

Le pagine di phishing

Il gruppo di cyber criminali, autore di questa campagna, ha utilizzato circa 500 repository Github che ospitano pagine di phishing. La prima pagina di phishing è stata creata in GitHub 5 mesi fa ma, poiché alcuni repository GitHub sono stati eliminati, è possibile che tattiche simili siano state utilizzate anche prima.

Rubate 615000 credenziali su Facebook
Rubate 615000 credenziali su Facebook

Il dominio utilizzato in questa campagna è stato creato per la prima volta il 3 aprile 2020 ed è registrato e ospitato su GoDaddy. Sono stati identificati altri quattro domini sospettati di appartenere allo stesso gruppo.

“Dopo alcune ricerche siamo riusciti a ottenere l’accesso a quelle credenziali di phishing. Al momento sembra che ci siano più di 615.000 voci. L’elenco sta crescendo a un ritmo rapido di oltre 100 voci al minuto.” conclude il post.

La statistica del phishing

Prendendo un campione di 50.000 dati la distribuzione dei primi 10 paesi è la seguente

Rubate più di 615000 credenziali Facebook

 

Gli esperti stanno collaborando con le autorità competenti per smantellare l’infrastruttura di phishing utilizzata in questa campagna.

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments