قام مجرمو الإنترنت بسوء استخدام إعلانات فيسبوك لشن عملية احتيال واسعة النطاق، تهدف إلى سرقة بيانات اعتماد تسجيل دخول الضحايا. واستهدفت الحملة أكثر من 615000 مستخدم في دول متعددة، بما في ذلك مصر والفلبين وباكستان والنيبال.
اكتشف باحثون من شركة الأمن الالكتروني ThreatNix وجود هذه الحملة السيئة، حيث يستخدم ممثلو التهديدات إعلانات Facebook لإعادة توجيه المستخدمين إلى حسابات Github التي تستضيف صفحات التصيد الاحتيالي المستخدمة لسرقة بيانات اعتماد تسجيل دخول الضحايا.
احذروا إعلانات فيسبوك
الصفحات التي يصل إليها المستخدم الضحية هي صفحات تصيد احتيالي تنتحل شخصية شركات شرعية. وبمجرد تقديم الضحايا أوراق بيانات الاعتماد الخاصة بهم، سيتم إرسالهم مباشرة إلى المهاجمين من خلال قاعدة بيانات Firestore ونطاق مستضاف على موقع GoDaddy الشهير.
وأوضحت شركة الأمن الالكتروني ThreatNix: “صادف باحثونا الحملة للمرة الأولى من خلال منشور مدعوم على فيسبوك يقدم 3 غيغابايت من بيانات الهاتف المحمول من Nepal Telecom ويقوم بإعادة توجيه المستخدم إلى موقع تصيد مستضاف على صفحات GitHub”.
يبدو أن الحملة منظمة بشكل جيد وتستهدف إعلاناتها بلدان معينة (تم ذكرها أعلاه)، فيما استخدم ممثلو التهديد أيضاً منشورات وصفحات محلية على Facebook تحاكي المنظمات الشرعية الموجودة في هذه البلدان.
كما استخدم المحتالون حيلة مثيرة للاهتمام لتجنب اكتشافهم من قبل الإجراءات الأمنية المعتمدة في فيسبوك، وتتمثل باستخدام رابط URL مختصر عبر Bitly يشير في البداية إلى صفحة حميدة، وبمجرد الموافقة على طلب الترويج يتم تعديل الرابط واستبداله بصفحة التصيد الاحتيالي.
استخدم المهاجمون في شن هذه الحملة ما لا يقل عن 500 من مستودعات Github التي تستضيف صفحات تصيد، وبعضها غير نشط بالفعل. تم إنشاء أول صفحة تصيد في GitHub منذ 5 أشهر، ويبدو أن هناك أكثر من 615000 إدخالا حتى تاريخ كتابة هذا الموضوع والقائمة تنمو بوتيرة سريعة تزيد عن 100 إدخال في الدقيقة.
في سياق متصل، يعمل الخبراء الأمنيون مع السلطات المعنية لإيجاد حلول سريعة وإزالة البنية التحتية للتصيد الاحتيالي المستخدمة في هذه الحملة.
هجمات شبيهة
في أكتوبر، قام Facebook برصد هجوم إلكتروني احتيالي للإعلانات كان مستمراً منذ عام 2016، استخدم خلاله المحتالون برنامجاً ضاراً تم تتبعه باسم SilentFade (اختصاراً لعملية تشغيل إعلانات Facebook بصمت باستخدام برامج إكسبلويت) بهدف سرقة بيانات اعتماد Facebook وملفات تعريف الارتباط الخاصة بالمتصفح.
كشف عملاق الشبكات الاجتماعية أن البرامج الضارة قد أتت من الصين وسمحت للمتسللين بسحب 4 ملايين دولار من حسابات إعلانات المستخدمين.
إذ قام المهاجمون في البداية بخرق حسابات Facebook، ثم استخدموها لسرقة ملفات تعريف الارتباط الخاصة بالمتصفح قبل تنفيذ أنشطتهم الضارة، بما في ذلك الترويج للإعلانات الضارة.
