Durante meses, milhões de usuários do Facebook foram vítimas de um esquema de phishing que os fazia entregar suas informações de acesso à conta.
De acordo com um relatório que analisa a campanha de phishing, parece que o golpe ainda está em curso e continua direcionando as vítimas para a uma farsa de login no Facebook, onde as pessoas são induzidas a entregar suas credenciais de acesso. Estimativas sem confirmação dão conta que quase 10 milhões de usuários caíram vítimas de tal golpe, fazendo com que o criador desta tática de phishing obtenha uma grande soma de dinheiro.
Um relatório divulgado por especialistas da PIXM Security indica que o golpe de phishing teve início em setembro do ano anterior e, segundo eles, milhões de usuários do Facebook foram afetados mensalmente. Ainda de acordo com a pesquisa, a campanha continua ativa.
O Facebook não se pronunciou a respeito dos pedidos de comentários relativos a este relatório.

A PIXM acredita que o vasto esquema do Facebook possui uma única pessoa responsável, localizada na Colômbia, devido às mensagens que remetem a um site pessoal, que possui um código “assinado”. Os pesquisadores também afirmam que o indivíduo foi tão longe a ponto de responder às suas questões.
Como o esquema funcionou?
A essência da campanha de phishing gira em torno de uma página de acesso falsa no Facebook. Pode não parecer suspeito imediatamente, pois imita de perto a interface do usuário do Facebook.
Quando uma vítima insere suas informações de login e clica em “Log In”, elas são transmitidas para o servidor do atacante. Os autores do relatório descreveram, então, como parece que ocorre de maneira automática, o cibercriminoso entra na conta e envia o link para os contatos do usuário através do Facebook Messenger.
Cada um que clicar no link é direcionado para uma página falsa de autenticação. Se eles cederem à tentação, então uma mensagem de fraude de acesso é enviada aos seus contatos.
Após a aquisição das credenciais, os usuários são direcionados para páginas contendo propagandas, frequentemente acompanhadas por pesquisas. Os pesquisadores apontaram que cada uma dessas páginas irá gerar rendimento de referência para o responsável pelo ataque.
Quando os investigadores contactaram o indivíduo para promover a campanha de phishing, ele declarou que receberia US$ 150 por cada mil visitas dos Estados Unidos na página de saída de publicidade.
A PIXM prevê cerca de 400 milhões de visualizações de páginas norte-americanas da página de saída. Os pesquisadores afirmaram que isso poderia resultar em uma receita estimada de US$ 59 milhões para o quarto trimestre de 2021. No entanto, eles não acreditam que o criminoso esteja sendo completamente sincero sobre seus lucros, adicionando que provavelmente está “exagerando um pouco”.
Como o golpe conseguiu ultrapassar a proteção?
O autor desta campanha conseguiu burlar os protocolos de segurança da plataforma de mídia social, usando uma estratégia que o Facebook não foi capaz de identificar, declarou PIXM.
Quando uma vítima acessa um link malicioso no Messenger, o navegador inicia uma série de redirecionamentos. Ao clicar na ligação, os usuários são direcionados para um serviço de aplicativos legitimo. Os autores do relatório explicaram que, após isso, eles são direcionados para a página de phishing real. Porém, para o Facebook, é um link gerado usando um serviço legítimo, o que significa que não pode ser bloqueado sem impedir aplicativos e ligações legítimas.
Mesmo se o Facebook tivesse pego e impediu qualquer um dos domínios fraudulentos, “foi simples (e, considerando a rapidez que vimos, provavelmente automatizado) criar um novo link usando o mesmo serviço, com um novo identificador único. Nós frequentemente observávamos vários desses em um só dia, por serviço”, disseram os investigadores.
PIXM declarou que foi capaz de entrar nas páginas do hacker para rastrear as campanhas. Os números mostraram que cerca de 2,8 milhões de indivíduos sucumbiram à fraude em 2021 e 8,5 milhões foram atingidos até o presente momento.
Os especialistas advertem: “Tão longo quanto esses domínios permanecerem indetectáveis pelo uso de serviços lícitos, essas estratégias de phishing vão continuar prosperando.”
Receba: Divulgue esse artigo.
- Cordialmente, eu gostaria de te pedir um favor.
- Todos os seres humanos têm o direito básico à privacidade.