Nagyszabású és riasztóan hatékony csalási kampányt folytató bűnbandára hívja fel a figyelmet a Guardio Labs elemzése. A biztonsági cég kutatói szerint a valószínűleg Vietnámból operáló csapat nagyüzemben küldi ki az adatlopásra kihegyezett üzeneteket, ráadásul fájdalmasan jó "sikerrátával".

A módszer alapját hamis és lopott Facebook-fiókok adják, amelyekről becslések szerint heti 100 ezer megkeresést indítanak Messengeren, amelyekben egy adathalász kártevőt rejtő csomagot küldenek. A célpontok kifejezetten üzleti fiókok, de ezen belül teljes a spektrum: a rendszeres Marketplace-eladóktól a nagyvállalatokig bárkire lőnek az elkövetők.
 

Példák a csalási kísérletekre (forrás: Guardio Labs)

Alapvetően két irányból próbálják megtéveszteni az áldozatokat. Az egyik változatban az eladásra kínált termékekkel kapcsolatban tesznek fel kérdéseket, a másikban a Facebook felhasználói feltételeit sértő tartalom publikálásával vádolják meg a célpontot.

Az üzenetekben egy közös vonás van: mindegyik végén ott szerepel egy RAR vagy ZIP állomány letöltési linkje, amely kicsomagolva egy batch fájlt tartalmaz. Utóbbi önmagában nem is vírus, így az első körös védelmi vonalat simán át is játssza. Elindítva azonban letölt és üzembe állít egy a böngészőben tárolt jelszavak és sütik lopására fejlesztett malware-t.

A kártékony kód mindezt egy csomagban átpostázza a bandának, majd a felhasználó gépéről törli ezeket az információkat, végül pedig kilépteti az áldozatot a bejelentkezést igénylő szolgáltatásokból. Ez követően az elkövetőek a belépési adatok megváltoztatásával átveszik az uralmat a fiókok felett, amivel aztán vagy további visszaéléseket követnek el, vagy csak simán eladják azokat a feketepiacon.

Riasztó hatékonyság

A fenti módszer nem nevezhető különlegesnek, ám a kampány léptéke és hatékonysága több mint aggasztó a biztonsági kutatók szerint. A hetente százezres nagyságrendben kiküldött üzenetekkel a Guardio Labs jelentése szerint a facebookos üzleti fiókok körülbelül 7 százalékát már megcélozták, akik közül 35-ből egy rá is kattintott a linkre, letöltve ezzel a veszélyes tömörített fájl. Mindez azt jelenti, hogy a Facebook üzleti fiókjainak 0,4 százaléka potenciálisan fertőzött lehett.

A kampány feltételezett konverziós hatékonysága (forrás: Guardio Labs) 

A hazai felhasználók számára azért akad egy jó hír: az elkövetők az angol nyelvű üzeneteikkel elsősorban Észak-Amerikát, Ausztráliát, Nyugat-Európát és Japánt, illetve a délkelet-ázsiai régió országait célozzák, azaz remélhetőleg magyar áldozata egyelőre nincs a csalásnak.