Recientemente ha surgido una sofisticada campaña de phishing, dirigida a usuarios de Facebook con correos electrónicos cuidadosamente diseñados diseñados para cosechar credenciales de inicio de sesión.
Los atacantes aprovechan el propio sistema de advertencia de URL externo de la plataforma para cubrir los enlaces maliciosos, presentando URL que parecen legítimas mientras redirigen a las víctimas a falsificar páginas de inicio de sesión de Facebook.
El señuelo inicial llega como una notificación de seguridad urgente, advirtiendo a los usuarios de “intentos de acceso no autorizados” o incitándolos a verificar la actividad de la cuenta.
El diseño del correo electrónico refleja de cerca el estilo de Facebook, completo con íconos de redes sociales y descargo de responsabilidad de pies de página, creando una sensación de autenticidad y los principales destinatarios a hacer clic sin dudarlo.
Phishing (fuente – x)
El alcance de la campaña abarca múltiples idiomas, incluidos inglés, alemán, español y coreano, ampliando su posible grupo de víctimas.
Las URL de phishing siguen constantemente un patrón de dominios benignos reenviados a través del servicio redirector de Facebook (por ejemplo, httpst.co/ms24b2xu6p), que luego redirige a la infraestructura de los atacantes.
Analistas de SpiderLabs identificado Esta técnica después de examinar docenas de muestras de correo electrónico, señalando cómo el mecanismo de redirección evade escáneres de enlaces y evita la sospecha del usuario.
Las víctimas que siguen el enlace encuentran una réplica casi perfecta de la interfaz de inicio de sesión de Facebook, donde las credenciales enviadas se exfiltran inmediatamente a un servidor de comando y control.
En la presentación exitosa, el portal falso ejecuta un breve fragmento de JavaScript para mostrar un error de “contraseña incorrecta”, lo que le permite a los usuarios que vuelvan a ingresar sus detalles, suministrando a los atacantes con credenciales válidas en el segundo intento.
Los datos cosechados incluyen direcciones de correo electrónico, números de teléfono y contraseñas, que se almacenan en un script de back -end de PHP para la recuperación posterior por parte de los actores de amenazas.
Mecanismo de infección basado en redireccionamiento
La innovación central de esta campaña de phishing radica en su abuso del sistema de advertencia de URL externo de Facebook como un mecanismo de infección.
En lugar de vincularse directamente a dominios maliciosos, los atacantes construyen una URL de la forma:-
Verifique su cuenta
Este enlace aprovecha el servicio de redirección de L.Facebook.com de Facebook, incrustando el sitio de phishing real en el parámetro U =.
Cuando se hace clic, Facebook presenta un banner de advertencia, pero finalmente envía a la víctima a la página maliciosa, prestando credibilidad al destino.
Una vez en el sitio de phishing, el formulario HTML recopila credenciales a través de:-
Al enviar, una rutina de JavaScript desencadena una segunda redirección a Facebook, mostrando un aviso de error al usuario y minimizando la sospecha.
Este mecanismo de infección basado en la redirección no solo evita las puertas de enlace de seguridad de correo electrónico, sino que también explota la confianza del usuario en el dominio de Facebook, lo que hace que la detección y la prevención sean significativamente más desafiantes.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
