Аналітики Group-IB Digital Risk Protection (DRP) виявили масштабну шахрайську кампанію, спрямовану на користувачів Facebook Messenger у понад 80 країнах Європи, Азії, Північної та Південної Америки. Зловмисники поширюють рекламні оголошення нібито оновленої версії Facebook Messenger та збирають таким чином дані для входу до сторінок користувачів.

Про це повідомляється у пресрелізі Group-IB.

Перші фейкові повідомлення фахівці Group-IB виявили ще влітку 2020 року. З тих пір число оголошень у мережі збільшувалася. У квітні кількість повідомлень у Facebook, які запрошували користувачів встановити «останнє оновлення Messenger», досягла 5700. Аналітики DRP Group-IB виявили майже 1000 підроблених профілів Facebook, задіяних у цій схемі.

Як працювала схема?

Щоб привернути увагу користувачів, шахраї зареєстрували акаунти з іменами, що імітують реальний додаток — Messanger, Meseenger, Masssengar та ін., а також використовували офіційний логотип Facebook Messenger як фотографію профілю.

Для полегшення процесу модерації у Facebook та щоб обійти шахрайські фільтри соцмережі, зловмисники використовували скорочені посилання, створені за допомогою таких служб, як linktr.ee, bit.ly, cutt.us, cutt.ly та rb.gy. Після натискання на посилання, яке має призвести до завантаження оновленої версії програми, користувач опиняється на підробленому вебсайті Facebook Messenger із формою входу, де його просять ввести свої облікові дані. Шахраї використовували такі платформи, як blogspot.com, sites.google.com, github.io та godaddysites.com для реєстрації підроблених сторінок входу в Facebook Messenger.

Щоб зацікавити користувачів і змусити їх перейти за посиланням, шахраї наділили додаток деякими неіснуючими функціями, такими як можливість з’ясувати, хто відвідував профіль користувача та побачити повідомлення, які було видалено або навіть запропоновано перенести на Gold Messenger. Кіберзлочинці навіть вдавалися до шантажу, щоб змусити користувачів завантажувати програму, і тиснули на останнього погрозами, що якщо вони не зареєструються на фейковій сторінці, їх акаунт буде назавжди видалено.

Group-IB зазначає, що отримані дані користувачів злочинці зможуть використати для шантажу або додатково розширення масштабів схеми, використовуючи профіль Facebook для поширення рекламних повідомлень про шахрайство.

Як повідомлялося раніше, в Україні з’явився фішинговий сайт, створений за аналогією до сайту держпослуг «Дія». З допомогою сайту хакери збирали дані кредитних карт українців.