0
0
Os cibercriminosos deixaram um banco de dados do ElasticSearch exposto, revelando um ataque global que comprometeu contas do Facebook e as usou para enganar outras pessoas.
Pesquisadores descobriram um amplo golpe global direcionado aos usuários do Facebook, depois de encontrar um banco de dados sem segurança usado por fraudadores para armazenar os nomes de usuário e senhas de pelo menos 100.000 vítimas.
Os pesquisadores disseram que os cibercriminosos por trás do golpe estavam enganando as vítimas do Facebook a fornecer credenciais de login de sua conta usando uma ferramenta que fingia revelar quem estava visitando seus perfis.
Os fraudadores então “usaram as credenciais de login roubadas para compartilhar comentários de spam em posts no Facebook através da conta hackeada das vítimas, direcionando as pessoas para sua rede de sites de golpes”, de acordo com pesquisadores do vpnMentor na sexta-feira. “Todos esses sites eventualmente levaram a uma falsa plataforma de negociação de Bitcoin usada para enganar as pessoas de ‘depósitos’ de pelo menos €250 [US$ 295].”
Os pesquisadores disseram que não têm evidências sobre se os dados foram acessados ou vazados por outras partes mal-intencionadas.
Threatpost entrou em contato com o Facebook para mais comentários.
O Banco de Dados
O banco de dados elasticsearch não assegurado era de 5,5 gigabytes e continha 13.521.774 registros de pelo menos 100.000 usuários do Facebook. Foi aberto entre junho e setembro deste ano; foi descoberto em 21 de setembro e encerrado em 22 de setembro.
Os dados no banco de dados expostos incluíam credenciais e endereços IP; esboços de texto para comentários que os fraudadores fariam nas páginas do Facebook (através de uma conta hackeada) que direcionavam as pessoas para sites suspeitos e fraudulentos; e dados de informações pessoalmente identificáveis (PII), como e-mails, nomes e números de telefone das vítimas do golpe de Bitcoin.
Os pesquisadores disseram que, para confirmar que o banco de dados era ao vivo e real, eles inseriram credenciais de login falsas em uma das páginas da web do golpe e verificaram que haviam sido gravadas.
Um dia depois de descobrirem o banco de dados, os pesquisadores acreditam que ele foi atacado pelo ataque cibernético generalizado do Meow, que limpou completamente todos os seus dados. Um ataque do Meow refere-se a ataques contínuos que começaram no início de julho e deixaram 1.000 bancos de dados sem capacidade permanentemente excluídos. O ataque deixa a palavra “miau” como seu único cartão de visitas, de acordo com o pesquisador Bob Diachenko. Os hackers do Meow também atingiram recentemente um servidor Mailfire que foi mal configurado e deixado aberto.
“O banco de dados ficou offline no mesmo dia e não estava mais acessível”, disseram os pesquisadores. “Acreditamos que os fraudadores fizeram isso após o ataque do Miau, mas não podemos confirmar.”
O Golpe
O golpe global direcionado aos usuários do Facebook começa com uma rede de sites de propriedade de fraudadores, que enganam os usuários do Facebook a fornecer suas credenciais prometendo que mostrariam como alvos uma lista de pessoas que visitaram recentemente seus perfis.
Não está claro como os visitantes foram levados a esses sites. Os pesquisadores encontraram 29 domínios ligados a essa rede; sites tinham nomes como: askingviewer[.] com.captura-perseguidores[.] com e seguidor[.] com.
O site diz às vítimas “Havia 32 visitantes de perfil em sua página nos últimos 2 dias! Continue a ver você listar”, e aponta-os para um botão que diz “Lista Aberta!” Quando a vítima clica no botão, ela é enviada para uma página de login falsa do Facebook, onde é solicitada a inserir suas credenciais de login. Depois disso, uma página de carregamento falsa aparece, prometendo compartilhar a lista completa, e a vítima é redirecionada para a página do Google Play para um aplicativo de análise do Facebook não relacionado.
“No processo, os fraudadores salvaram o nome de usuário e senha do Facebook da vítima no banco de dados exposto para uso futuro em suas outras atividades criminosas”, disseram os pesquisadores. “Estes foram armazenados em formato cleartext, facilitando para qualquer um que encontrou o banco de dados para visualizá-los, baixar e roubá-los.”
Os agressores então usam as credenciais das vítimas para a próxima fase do ataque – assumindo contas e comentando em posts no Facebook publicados na rede das vítimas, com links para uma rede diferente de sites de golpes que pertencem aos fraudadores. Esses sites se relacionam com um esquema de fraude de Bitcoin. Quando um amigo do Facebook de uma vítima visita um dos sites, eles são orientados a se inscrever em uma conta de negociação de Bitcoin gratuita e a depositar US $ 295 para começar a negociar.
“Ao incluir links para sites de notícias falsas, os fraudadores esperavam contornar e confundir as ferramentas de fraude e detecção de bots do Facebook”, disseram os pesquisadores. “Se as contas hackeadas apenas postasse os mesmos links para um golpe de Bitcoin vária vez, elas seriam rapidamente bloqueadas pela rede social.”
Pesquisadores disseram aos usuários do Facebook que, se eles pensam que foram vítimas do esforço de fraude, para mudar suas credenciais de login imediatamente.
“Além disso, se você reutilizar sua senha do Facebook em qualquer outra conta, altere-a imediatamente para protegê-las de hackers”, disseram os pesquisadores. “Recomendamos usar um gerador de senhas para criar senhas únicas e fortes para cada conta privada que você tenha e alterá-las periodicamente.”
FONTE: THREATPOST