Pesquisa de Ameaças

Antigas e novas fraudes atingem o Facebook

Lisandro Carmona de Souza, 18 Julho 2016

Hackers utilizam mecanismos do Facebook para mostrar página falsa: fraudes abusam das próprias medidas de segurança para parecerem verdadeiras.

No caso que analisamos, os criadores da campanha desenvolveram um aplicativo que, no fundo, é um simples <iframe> que mostra uma falsa página de login do Facebook. Os cibercriminosos estão se aproveitando da plataforma do aplicativo do Facebook para espalhar a sua fraude contra os usuários. Tudo parece legítimo graças ao uso fraudulento dos certificados Transport Layer Security (TLS) do próprio Facebook, que são um protocolo utilizado para manter seguros os domínios e a comunicação com os usuários.A falsa página da internet está hospedada em hxxp://gator4207.hostgator.com/~labijuve/a2/, que é uma página idêntica, mas falsa, da página de login do Facebook. As diferenças entre os dois sites se tornam óbvias quando são vistas uma ao lado da outra.

screen3_1.png

Falsa página de login do Facebook que está esperando para infectar os usuários

Para que o golpe funcione, os cibercriminosos utilizam a plataforma do aplicativo do Facebook e desta forma podem mostrar uma página falsa sob o mesmo domínio, legítimo, do Facebook, com o certificado Transport Layer Security (TLS) também legítimo. Para evitar os alertas HTTPS do navegador, eles também utilizam o protocolo HTTPS no falso site.

O código fonte do site revela que o falso site é, na verdade, um simples carregador de um formulário. Neste caso, os usuários são enganados ao interagir com o falso formulário de login do site.

screen1_1-1.png

Formulário chamando "server.php" e “server1.php”

screen2_1.png

O código JavaScript extendido (pgfl4Qozb5l.js) não é utilizado, somente o HTML com o CSS

Parece, mas não é

Mesmo com o ambiente parecido que os hackers gastaram tempo para preparar, os usuários mais experientes poderiam perceber outras coisas suspeitas. Para eliminar essa sensação de suspeita, os criadores da falsa página adicionaram um truque que aparece quando os usuários digitam as suas credenciais. Quando digitam o seu nome, senha e a resposta à pergunta secreta, o formulário bloqueia automaticamente o login e informa que os dados digitados estão incorretos.

screen4_1.png

O site finge que o usuário preencheu incorretamente as suas credenciais

Ao digitar pela segunda vez as suas credenciais, o formulário atua como se as informações tenham sido digitadas corretamente, mas, na verdade, os dados foram enviados ao email do hacker. Depois de digitar pela segunda vez as credenciais, a vítima é informada que terá de esperar 24 horas para que as informações sejam confirmadas.

Este período pode ser usado de várias formas. O hacker pode acessar a conta da vítima ou pode vendê-la a outros para utilizá-la como fonte de spam ou mesmo fraudar outros usuários. É comum o uso de contas sequestradas para enganar os amigos da vítima e levá-los a entrar na falsa página, ou até mesmo pedir-lhes alguma doação em dinheiro ou outras informações.

screen5_1.png

A última mensagem mostrada à vítima dizendo que um email de confirmação chegará em 24 horas,
mas, infelizmente, este email nunca chegará

Ainda que este tipo de fraude (phishing) pode ser tentada, o Facebook já está preparado para situações semelhantes e tem algumas funções que podem revelar as tentativas de ataque.

Não passe por cima das configurações de segurança do Facebook

A sua melhor proteção para este tipo de ataques é utilizar o processo de verificação em duas etapas do Facebook. A função de aprovação de logins evita que a sua conta seja imediatamente comprometida se as suas credenciais forem roubadas e, além disso, irá alertar você que alguém está tentando invadir a sua conta.

Foto: Markus Spiske.