Infractorii cibernetici au scos la iveală o bază de date ElasticSearch, dezvăluind un atac global care a compromis conturi Facebook pe care le-au folosit pentru a înșela alți utilizatori ai platformei de social media.

Cercetătorii au descoperit o fraudă globală care a vizat utilizatorii Facebook, după ce au găsit o bază de date nesecurizată folosită de fraudatori pentru a stoca numele de utilizator și parolele a cel puțin 100.000 de victime.

Cercetătorii au spus că infractorii cibernetici din spatele înșelăciunii au păcălit victimele Facebook să-și furnizeze credențialele de conectare la cont, folosind un instrument care pretindea să dezvăluie cine le vizita profilurile.

Fraudatorii „au folosit apoi datele de conectare furate pentru a posta comentarii spam pe Facebook prin intermediul contului piratat al victimelor, direcționând contactele din rețeaua acestora către site-uri web înșelătoare”, potrivit cercetătorilor de la vpnMentor. „Toate aceste site-uri au condus în cele din urmă către o platformă falsă de tranzacționare Bitcoin folosită pentru a înșela oamenii prin „depozite ”de cel puțin 250 EUR [295 USD].”

Cercetătorii au declarat că nu au dovezi dacă datele au fost accesate sau difuzate de către alte părți rău intenționate.

Baza de date

Baza de date Elasticsearch nesecurizată avea 5,5 GB și conținea 13.521.774 înregistrări a cel puțin 100.000 de utilizatori Facebook. A fost deschisă în perioada iunie – septembrie a acestui an, a fost descoperită pe 21 septembrie și închisă pe 22 septembrie.

Datele din baza de date expusă au inclus credențiale și adrese IP, schițe de text pentru comentariile pe care fraudatorii le-ar face pe paginile de Facebook (prin intermediul contului piratat) care direcționau oamenii către site-uri web suspecte și frauduloase, precum și date despre informații de identificare personală (personally identifiable information – PII), cum ar fi adrese de e-mail, nume și numere de telefon ale victimelor înșelătoriei Bitcoin.

Cercetătorii au spus că, pentru a confirma că baza de date era reală și reală, au introdus acreditări de autentificare false pe una dintre paginile web înșelătoare și au verificat că au fost înregistrate.

A doua zi după ce au descoperit baza de date, cercetătorii cred că a fost atacată de atacul cibernetic larg răspândit Meow, care și-a șters complet toate datele. Un atac Meow se referă la atacurile în curs care au început în luna iulie și au șters definitiv 1.000 de baze de date nesecurizate. Atacul lasă cuvântul „meow” („miau”) ca singurul său card de vizită, potrivit cercetătorului Bob Diachenko. Hackerii Meow au vizat, de asemenea, recent un server Mailfire care a fost greșit configurat și lăsat deschis.

„Baza de date a fost scoasă offline în aceeași zi și nu mai era accesibilă”, au spus cercetătorii. „Credem că fraudatorii au făcut acest lucru în urma atacului Meow, dar nu putem confirma”.

Înșelătoria

Înșelătoria globală care vizează utilizatorii Facebook a pornit de la o rețea de site-uri web deținute de fraudatori, care i-a păcălit pe utilizatorii Facebook să își furnizeze credențialele promițând că le vor afișa o listă de persoane care le-au vizitat recent profilurile.

Nu este clar cum au fost conduși vizitatorii către aceste site-uri web. Cercetătorii au descoperit 29 de domenii legate de această rețea, site-urile având denumiri precum: askviewer [.] com, capture-stalkers [.] com și followviewer [.] com.

Pagina înșelătoriei. Credit: vpnMentor

Site-ul le spunea victimelor „There were 32 profile visitors on your page in the last 2 days! Continue to view you list” și le îndreapta spre un buton care scria „Open List!”. Când victima făcea clic pe buton, aceasta era trimisă pe o pagină falsă de autentificare Facebook, unde i se cerea să introducă datele de conectare. Apoi apărea o pagină de încărcare falsă, promițând să împărtășească lista completă, iar victima era redirecționată către pagina Google Play pentru o aplicație de analytics a Facebook fără nicio legătură cu subiectul.

„În acest proces, fraudatorii au salvat numele de utilizator și parola Facebook ale victimei în baza de date expusă pentru o utilizare viitoare în celelalte activități infracționale ale acestora”, au spus cercetătorii. „Acestea au fost stocate în format text clar, facilitând vizualizarea, descărcarea și furtul de către oricine a găsit baza de date.”

Atacatorii au folosit apoi credențialele victimelor pentru următoarea fază a atacului – preluarea conturilor și comentarea postărilor de pe Facebook publicate în rețeaua victimelor, cu linkuri către o rețea diferită de site-uri web înșelătoare care sunt deținute de fraudatori. Aceste site-uri se referă la un sistem de fraudă Bitcoin. Când prietenul de pe Facebook al unei victime vizitează unul dintre site-uri, li se cere să se înscrie pentru un cont gratuit de tranzacționare Bitcoin și să depună 295 USD pentru a începe tranzacționarea.

„Prin includerea de link-uri către site-uri web de știri false, fraudatorii sperau să ocolească și să păcălească instrumentele Facebook de detectare a fraudelor și a boților”, au spus cercetătorii. „Dacă conturile piratate au postat aceleași linkuri către o înșelătorie Bitcoin de mai multe ori, acestea ar fi fost blocate rapid de rețeaua socială”.

Cercetătorii le-au spus utilizatorilor Facebook că în cazul în care cred că au fost victima fraudei, să își schimbe imediat credențialele de conectare.

„Mai mult, dacă v-ați reutilizat parola Facebook pe orice alte conturi, schimbați-o imediat pentru a le proteja de hacking”, au spus cercetătorii. „Vă recomandăm să utilizați un generator de parole pentru a crea parole unice și puternice pentru fiecare cont privat pe care îl aveți și să le schimbați periodic”.

Sursa: ThreatPost.com