Bir istihbarat firması, yüzlerce Facebook kullanıcısının kimlik avı dolandırıcılığına kurban gitmesi nedeniyle bir siber suçlunun dört ay içinde bir milyon Facebook hesabı kimlik bilgisi elde ettiğini tespit etti. Kimlik avı önleme şirketi PIXM‘e göre, Facebook’un açılış sayfası yerine sahte bir giriş ağ geçidi kullanıldı ve sayfaya hesap bilgilerini girenlerin bilgilerinin çalındığı tespit edildi.
PIXM, sahte açılış sayfasını daha fazla araştırdığında, meşru URL’den değiştirilen ve bir dizi yeniden yönlendirmeyle sonuçlanan “kullanıcıların girilen kimlik bilgilerini toplamak için veritabanı sunucusunu barındıran gerçek sunucuya bir referans” keşfetti.
Ayrıca bkz: Cuma Raporu #210: Kanala ne oldu? iPhone’lara Tip-C geliyor ve dahası (Canlı Yayın Tekrarı)
PIXM ayrıca, kod içinde bir trafik izleme uygulamasına giden bir bağlantı keşfetti ve bu, kimlik avı önleme firmasının izleme ölçümlerini görüntülemesine izin verdi. Sonuç olarak, PIXM yalnızca siber suçluların sayfasındaki trafik bilgilerini değil, aynı zamanda bir dizi başka sahte açılış sayfasını da keşfetti.
Bağlantıların daha sonra Facebook’tan geldiği keşfedildi, çünkü tehdit aktörleri bir kurbanın hesabına erişecek ve daha sonra daha fazla hesap bilgisi geliştirmek için kurbanın arkadaş grubuna toplu olarak zararlı bağlantılar gönderecekti.
Web siteleri, glitch.me, ünlü.co, amaze.co ve funnel-preview.com gibi hizmetleri kullanarak sahte Facebook açılış sayfasının URL’lerini dağıtacak ve oluşturacak, böylece bireyleri hesap bilgilerini girmeleri ve çalmaları için kandıracaktı.
Araştırmacılara göre, kimlik avı dolandırıcılığı Kolombiya’daki bir siber suçluya ve çevrimiçi saldırılarda kullanılan bir e-posta hesabına kadar takip edildi.
Kimlik avı, tüketicilere internet servis sağlayıcısı, banka veya ipotek firması gibi iyi bilinen bir kaynaktan geliyormuş gibi görünen bir e-posta göndererek onları hedefleyen bir tür çevrimiçi dolandırıcılıktır. Müşteriden kişisel olarak tanımlayıcı bilgiler talep eder.
Araştırmacılara göre, ek analizlerin ardından saldırılar, failin e-posta adresiyle birlikte Kolombiya’daki bir tehdit aktöründen geliyor gibi görünüyordu.