O nouă tentativă sofisticată de fraudare a conturilor Meta Facebook

Am descoperit o nouă tentativă de fraudare a conturilor de publicitate Meta (Facebook) prin încercarea preluării controlululi la cont.

Totul începe printr-un email venit de la platforma Meta, un email cât se poate de real prin care cineva solicită acces la contul tău de business. Partea cea mai interesantă este că numele contului atacatorului precum și numele tău sunt completate în așa fel încât să denatureze cuprinsul mailului și să pară că, de fapt, nu dai un acces imediat ci că doar faci un review de date.

Aspecte interesante:

a) numele afacerii este „Agency Partner Program is Meta’s partner network, any other Program” ceea ce compune începutul disclaimerului „Agency Partner Program is Meta’s partner network, any other Program is not part of or affiliated with Meta. Only approve requests and invitations from people and businesses you know and trust. Meta will never ask for passwords, payment information or personal details in an email.”.

Meta a adăugat recent acest disclaimer pentru a informa utilziatorii că niciun business din Meta nu este direct afiliat cu entitatea lor. Totuși, acest atac sofisticat  se folosește de o problemă de validare a denumirilor afacerilor create în platforma Meta pentru a transforma mesajul într-unul din care ar trebui să se subînțeleagă că este vorba de un program partener oficial al Meta. Există mai multe variații de denumiri, cum ar fi „Meta Partner Support m.me/partnerplatformprogramagency you”, „Get Started sites.google.com/view/verifypagemeta – Your information”,

Din păcate, deși Meta are propul sistem LLM destul de capabil, nu au implementat niciun sistem de filtrare a denumirilor, nu au măsuri adevărate de securitate. Probabil, de aceea nici nu sunt prezenți la marile evenimente de securitate cibernetică din industrie.

Campaniile de phishing se pot baza de cele mai multe ori pe grabă sau pe analfabetism funcțional ori pe neînțelegerea limbii engleze.

Alți utilziatori au raportat situații în care numele afacerii era „⚠️ Your accounts will be locked after 24 hours..” creând impreisa că Facebook le va închide contul. Astfel de mesaje pot apărea și pe inboxul paginii în paralel, nu doar pe email.

b) numele celui care a trimis cererea a fost trecut ca „MetaForBusiness: please complete the process at the link above.”

Scopul acestui nume este de a adăuga un extra input ce poate denatura înțelesul inițial al emailului.

Facebook Meta ar fi trebuit să nu permită nume atât de lungi sau din atâtea cuvinte. O astfel de problemă de validare este atât de simplă, chiar banală. Ne face să ne întrebăm, oare câte alte probelme mai există într-un sistem gigantic de nivelul unei planete?

c) emailul primit este oficial, vine de la Meta

De cele mai multe ori, în cursurile de securitate cibernetică și de anti-phishing, suntem învățați să ne uităm la trimițător. Ce facem dacă trimițătorul unui email este veridic?

Emailurile oficiale ale Meta aparțin de domeniile

• @fb.com
• @meta.com
• @mail.instagram.com
• @account.meta.com
• @global.metamail.com

Există situații de campanii de phishing în care senderul schimbă o singură literă în domeniul web (instragran.com)

d) Campanii către siteuri clonă

Am primit și emailuri de la alți senderi care nu au folosit platforma meta ci niște clone bine făcute. Acestea folosesc, de regulă. subiecte precum:

• Meta Agency Partner Program
• Meta Professional Partner Program
• Meta Media Agency
• Business Manager Partner Request
• Meta Business Suite Invitation

Ce poți face dacă ai primit un email suspicios?

1. Nu apăsa pe niciun link până nu verifici cu atenție fiecare informație. Mai ales dacă nu te așteptai să primești vre-o cerere.
2. Șterge emailul și marchează-l ca spam.
3. Trimite emailul suspect la Meta. Acestea pot fi trimise la phish@fb.com
4. Autentifică-te în Business Manager din browser, separat, fără a da click pe link
5. Verifică periodic dacă sunt utilizatori neautorizați, aplicații sau tokenuri de acces,

Poți solicita suport la contact [ @ ] comanpaul.ro. Voi răspunde prompt cu o ofertă.

e) Dacă folosești Gmail, acesta te poate induce în eroare și mai tare pentru că apare o bifă albastră ce dă impresia că totul este legitim pentru că domeniul senderului a fost validat și verificat ca fiind real.

Datele privind adresa de email pot fi colectate din diverse breșe de securitate, liste de firme, baze de date nelegale sau prins canarea paginilor de Facebook de către roboți (mai ales dacă ai completat adresa de email a afacerii în profilul public al paginii). Adevărul este că nu am primit niciodată un email din pagina de Facebook. În 100% din cazuri, am primit mesaj pe chat dacă a fost nevoie să luăm legătura.Don’t be too corporate. Să facem viața hackerilor începători mai grea 🙂

f) Followup

În cazul meu, actorul rău-intenționat a trimis aceeși cerere pe mai multe adrese de email. Este foarte interesant că am primit pe mai multe adrese în aceeași zi, mai ales că foarte rar public toate adresele mele de email. La câteva ore după prima cerere, a mai venit o cerere cu numele de business „Your Business Is Approved for Partnership m.me/454914198343671 Other links”. Acest mesaj face să pară că nu mai e ceva urgent, că ceva bun s-a întîmplat, am primit un update, dar tot trebuie să „îmi verific informațiile”.

Ca să te protejezi de fraude

• Verifică mereu identitatea solicitantului contactând compania și folosind informațiile oficiale de contact – nu pe cele din email
• Nu partajați niciodată numele de utilizator, parola sau informațiile de plată. Meta nu le solicită niciodată!
• Fiți atenți la mesajele care folosesc un limbaj urgent sau amenințător. De exemplu, solicitări care spun că Pagina dvs. este în pericol. Aceasta este prima regulă în protecția anti-phishing

Dacă permiți cuiva accesul la Meta Business Suite, poți ajunge să:

• dai mai multe informații despre ce există în contul tău
• da acces la pagini sau pixeli
• poți da fără să vrei permisiuni la nivel de business, la un cont de ads – cineva ar putea rula campanii malițioase în numele tău
• ai putea da fără să vrei acces la o linie de credit

Am văzut cazuri în care cei ce obțineau acces la conturi, plăteau ei campaniile pentru a nu da de bănuit. Prin acele campanii, încercau să promoveze afaceri de la firme fantomă, propagandă, fake news sau produse naturiste false.

Accesul la pagina ta poate însemna inclusiv că atacatorul ar putea să răspundă la mesajele primite pe pagină, să ceară informații pentru a păcăli și alte persoane și chiar să îți deturnezew clienții.

Din păcate, consecințele pentru victime sunt, de multe ori, închiderea paginilor și a conturilor, în timp ce atacatorii pierd doar un instrument pe care îl refac a doua zi. Securitatea cu adevărat implementată nu există încă la Meta.