Μια νέα εκστρατεία phishing αποκαλύφθηκε πρόσφατα, με κυβερνοεγκληματίες να παριστάνουν στελέχη της Netflix και να προσεγγίζουν επαγγελματίες του μάρκετινγκ με υποτιθέμενες προτάσεις εργασίας. Ο στόχος τους είναι να αποσπάσουν στοιχεία σύνδεσης σε λογαριασμούς Facebook, εκμεταλλευόμενοι τη συνήθη πρακτική χρήσης social logins σε πλατφόρμες τρίτων.
Το αρχικό email μιμείται μήνυμα από recruiter, με τυπικό και καλοδουλεμένο ύφος, το οποίο φαίνεται να έχει παραχθεί με τεχνητή νοημοσύνη. Προσφέρει μάλιστα θέση αντιπροέδρου μάρκετινγκ στη Netflix, κάτι που φανερώνει ότι οι απατεώνες είχαν μελετήσει τα προφίλ των παραληπτών ώστε να κάνουν την προσφορά πειστική.
Απαντώντας στο μήνυμα, ο παραλήπτης οδηγείται σε υποτιθέμενη σελίδα της ομάδας HR της Netflix για να προγραμματίσει συνέντευξη. Η ιστοσελίδα είναι μίγμα περιεχομένου αντιγραμμένου από την κανονική σελίδα της εταιρείας και στοιχείων που προδίδουν την απάτη. Παρότι εμφανίζονται διαθέσιμες 20 «θέσεις», όλες κινούνται γύρω από τον χώρο των social media και του μάρκετινγκ.
Στο επόμενο στάδιο, ανεξάρτητα από το αν ο χρήστης επιλέξει «Continue with Facebook» ή «Continue with Email», το σύστημα ζητά τελικά στοιχεία σύνδεσης σε Facebook λογαριασμό. Εδώ εμφανίζονται τα πρώτα σοβαρά «κόκκινα σημάδια»: καμία διαδικασία πρόσληψης δεν απαιτεί πρόσβαση σε προσωπικό Facebook, ούτε η πλατφόρμα χρησιμοποιείται για προγραμματισμό συνεντεύξεων.
Η επίθεση ωστόσο είναι ιδιαίτερα εξελιγμένη. Η σελίδα χρησιμοποιεί websocket μέθοδο ώστε να καταγράφει τα στοιχεία σε πραγματικό χρόνο. Αν ο κωδικός είναι σωστός, ο επιτιθέμενος μπορεί αμέσως να αποκτήσει πρόσβαση στον πραγματικό λογαριασμό Facebook, ακόμη και να επιχειρήσει παράκαμψη μεθόδων MFA. Έτσι, τα θύματα μπορεί να χάσουν τον έλεγχο του λογαριασμού τους χωρίς να το αντιληφθούν.
Η στόχευση επαγγελματιών μάρκετινγκ και διαχειριστών social media δεν είναι τυχαία. Η παραβίαση επιχειρηματικών λογαριασμών Facebook μπορεί να επιτρέψει σε εγκληματίες να τρέξουν κακόβουλες διαφημίσεις με την κάρτα της εταιρείας, να απαιτήσουν λύτρα για την επιστροφή του ελέγχου ή να εκμεταλλευτούν τη φήμη της για να εξαπλώσουν περαιτέρω απάτες.
Οι ειδικοί της malwarebytes.com προειδοποιούν: όποιος υποψιάζεται ότι τα στοιχεία του έχουν διαρρεύσει πρέπει να αλλάξει άμεσα κωδικούς, να ενεργοποιήσει πολυπαραγοντική επαλήθευση και να ενημερώσει την ομάδα ασφαλείας. Για πρόληψη, συστήνεται προσοχή σε μη ζητημένες προσφορές εργασίας, έλεγχος URL για τυχόν παραλλαγμένα domains, καλή γνώση ενδείξεων phishing και χρήση ενημερωμένου anti-malware με web protection. Η Netflix και η Cloudflare έχουν ήδη ενημερωθεί για την εν λόγω καμπάνια.
