Eine neue Phishing-Kampagne, die sich als Facebook-Werbeteam ausgibt, bedroht aktuell Geschäftskonten auf Meta (Facebook). Die Angreifer nutzen dabei E-Mail-Betreffzeilen wie „Verletzung der Richtlinien“ oder „Löschung des Kontos“, um Nutzer zum Klicken auf schädliche Links zu verleiten. Diese Links führen oft auf betrügerische Webseiten, die darauf ausgelegt sind, sensible Kontoinformationen zu ernten und letztendlich die betroffenen Geschäftskonten vollständig zu übernehmen.
Erkennungsmerkmale und Vorgehensweise des Phishing-Versuchs:
Grammatikalische Fehler und ein verdächtiger Link, der in einem Button eingebettet ist, sind klare Indizien für den Phishing-Versuch. Das Überfahren des Buttons mit der Maus offenbart die tatsächliche schädliche URL, die unsinnige Subdomains enthält und wahrscheinlich darauf abzielt, Benutzerinformationen zu stehlen.
Die Phishing-Seiten, die auf Netlify oder Vercel gehostet werden, locken die Nutzer mit einem gefälschten Account-Wiederherstellungsprozess. Auf der Landeseite werden Meta-Kontoinformationen wie E-Mail, Telefonnummer und möglicherweise Finanzdaten abgegriffen.
Ausnutzung von Sicherheitslücken:
Anschließend sammelt die Phishing-Seite das Passwort des Nutzers und umgeht die Zwei-Faktor-Authentifizierung (MFA), indem sie zwei aufeinanderfolgende Codes anfordert, was effektiv zur Kompromittierung des Kontos führt.
Eine Analyse von Cofense hat aufgedeckt, dass die Infrastruktur des Bedrohungsakteurs Übersetzungen von Vietnamesisch nach Englisch beinhaltet, was darauf hindeutet, dass die Akteure Dienste wie Netlify für die Linkerstellung, Microsoft Email Login für den Zugriff auf Hotmail und zwei Tabellenkalkulationen verwenden. Eine dieser Tabellen verfolgt Gewinne und Kosten, was auf finanzielle Motive hindeutet. Die andere, gesperrte Tabelle enthält wahrscheinlich Informationen über die Länder, die gezielt angegriffen werden sollen.
Automatisierung von Phishing-Kampagnen:
Die Website bietet Tools für Angreifer, um Phishing-Kampagnen zu automatisieren. Ein Tool wandelt Texteingaben in eine CSV-Datei um, vermutlich zur Datenmanipulation, und ein weiteres Tool, „Check Links“, bietet eine Liste aktiver Phishing-URLs und kann automatisch überprüfen, ob sie noch aktiv sind.
„TEXT emails to countries“ generiert Phishing-E-Mails basierend auf vom Nutzer ausgewählten Kriterien, einschließlich Zielland, E-Mail-Thema und gewünschtem Phishing-Link. Dies vereinfacht Phishing-Angriffe durch Automatisierung der Datenverarbeitung, URL-Überprüfung und E-Mail-Erstellung.
Ein Cybersicherheitsbericht hat Meta als die zweithäufigste imitierte Marke in Credential-Phishing-Angriffen im ersten Quartal 2024 identifiziert, wobei Cyberkriminelle ihre E-Mails häufig so tarnen, als kämen sie von Meta. Dies folgt auf Microsoft, ein etabliertes Ziel aufgrund seiner weit verbreiteten E-Mail-Dienste, und hebt die Technik des Spoofings populärer Marken für Phishing-Kampagnen hervor, die darauf abzielen, das Vertrauen der Nutzer auszunutzen und Login-Daten zu stehlen.
