研究人员发现了一场大规模的网络钓鱼活动。攻击者滥用Facebook和Messenger引诱数百万用户进入钓鱼页面,诱使他们输入帐户凭据。据研究人员分析,钓鱼活动的幕后操作者可以利用这些被盗账户进一步向用户好友发送钓鱼信息,并通过网络广告佣金赚取大量收入。据专注于人工智能的网络安全公司PIXM称,网络钓鱼活动至少从2021年9月开始就一直活跃,并在2022年4月至5月达到顶峰。PIXM通过跟踪威胁参与者来映射网络钓鱼活动,并发现其中一个已识别的网络钓鱼页面托管了一个指向流量监控应用程序(whos.amung.us)的链接,该应用程序无需身份验证即可公开访问。大规模滥用目前尚不清楚网络钓鱼活动最初是如何开始的,但PIXM表示,受害者通过来自Facebook、Messenger的一系列重定向到达网络钓鱼登陆页面,并且在更多Facebook帐户遭到入侵后,威胁攻击者利用自动化工具进一步向被盗账号好友发送钓鱼链接,导致被盗账号大规模增加。此外,虽然Facebook有自己的保护措施来阻止网络钓鱼URL的传播,但威胁行为者使用了绕过这些保护措施的技巧。此外,网络钓鱼邮件使用合法的URL生成服务,如litch.me、famous.co、amaze.co和funnel-preview.com,这使得在合法应用程序使用这些服务时阻止这些服务成为一项艰巨的任务。解决了问题。钓鱼活动中使用的一些URL(PIXM)值得注意,研究人员在未经身份验证的情况下成功访问了钓鱼活动统计页面。对数据信息进行分析后发现,2021年有270万用户访问了其中一个钓鱼入口,到2022年这一数字将上升到850万,反映出钓鱼活动的海量增长。深入挖掘后,研究人员确定了405个用作网络钓鱼活动标识符的唯一用户名,每个用户名都有一个单独的Facebook网络钓鱼页面,页面浏览量从少至4,000次到数百万次不等,一个页面的浏览量高达600万次。研究人员认为,这405个用户名仅代表网络钓鱼活动中使用的帐户的一小部分。IdentifiedPropagatingUserSample(PIXM)此外,研究人员透露,当受害者在钓鱼网站的登录页面上输入凭据时,新一轮的重定向开始,立即将用户带到广告页面、调查表等。向网络钓鱼用户展示广告(PIXM)威胁行为者能够从这些重定向中产生推荐收入,估计在这种规模的网络钓鱼活动中可达到数百万美元。追踪威胁攻击者值得注意的是,PIXM在所有登陆页面上都发现了一个共同的代码片段,其中包含对一个被查封网站的引用,该网站调查了一个名叫RafaelDorado的哥伦比亚男子。目前尚不清楚是谁没收了该域名并在网站上发布了通知。反向whois查询指向哥伦比亚一家合法的网络开发公司,并链接到提供Facebook“类似机器人”和黑客服务的旧网站。PIXM已与哥伦比亚警方和国际刑警组织分享其调查结果,同时强调虽然许多已识别的URL已下线,但网络钓鱼活动仍在进行中。参考文章:https://www.bleepingcomputer.com/news/security/massive-facebook-messenger-phishing-operation-generates-millions/
