Secondo l’analisi condotta da Trustwave, una nuova campagna di phishing, prevederebbe delle chatbot di Facebook Messenger per rubare le credenziali degli utenti.
“La popolarità dell’applicazione la rende un bersaglio interessante per i criminali informatici. Con milioni di utenti attivi, truffatori e attori delle minacce hanno facile accesso a numerose potenziali vittime. In questo caso, gli attori delle minacce stanno tentando di rubare le credenziali di accesso di Facebook.“, si legge nel blog di Trustwave SpiderLabs, “Questa volta, il nostro team si è imbattuto in un’e-mail di phishing che utilizza la funzione chatbot di Meta Messenger“.
Le chatbot lo ricordiamo sono applicazioni appositamente progettate per fornire assistenza ai clienti dal vivo prima che la richiesta venga inoltrata a un operatore umano.
Il modus operandi
Questo attacco di phishing inizia con un’e-mail che informa l’interlocutore di aver violato gli standard della comunità e che Facebook entro 48 ore senza una risposta giustificativa eliminerà la pagina dell’utente (invocando un senso di urgenza in chi legge).
Quando il destinatario fa click sul collegamento “Appeal Now”, viene reindirizzato verso una pagina di supporto di Messenger falsa ospitata su Google Firebase, per interagire con una chatbot.
I ricercatori avrebbero notato come il falso profilo della chatbot di supporto fosse in realtà una normale pagina business/fan senza follower o post riportante il logo ufficiale di Messenger per rendere la chatbot legittima.
Nel modulo di ricorso, all’utente viene richiesto di inserire il proprio nome, cognome, login e-mail, nome della pagina e numero di cellulare e successivamente una password ed una presunta verifica 2FA tramite OTP.
In realtà tramite “POST” il form con le informazioni inserite viene inviato agli attaccanti mentre l’utente viene reindirizzato alla pagina ufficiale delle linee guida sulla proprietà intellettuale e sul copyright di Facebook.
Considerazioni
A un esame attento della e-mail diversi sono gli elementi indicatori della falsità del messaggio:
- La maiuscola impropria della parola “Page” e il punto mancante alla fine della terza frase;
- Il mittente è chiamato “Policy Issues”, un modo per causare panico al destinatario;
- il dominio dell’indirizzo del mittente non appartiene a Facebook.
Alla luce di tutto questo risulta quanto mai importante che gli utenti siano sempre cauti prima di aprire avvisi e divulgare informazioni sensibili online. Qualora non si sia sicuri della legittimità di un utente o di un bot, si consiglia vivamente di non fornire alcuna informazione personale ma piuttosto di farne segnalazione alle piattaforme legittime.
Le chatbot e i relativi siti Web malevoli sono stati rapidamente rimossi dopo il rapporto di Trustwave, ma non c’è motivo di credere che un altro attore di minacce non possa utilizzare la stessa tattica in futuro.
