Nezaštićena baza podataka otkrila 100000 hakovanih Facebook naloga i globalnu prevaru na društvenoj mreži

Društvene mreže, 17.11.2020, 10:30 AM

Sajber kriminalci ostavili su nezaštićenom bazu podataka ElasticSearch koja je otkrila globalno masovno hakovanje Facebook naloga koji su korišćeni za prevaru drugih korisnika.

Prevara, čije su žrtve korisnici Facebooka, otkrivena je kada su istraživači firme vpnMentor pronašli nezaštićenu bazu podataka koju prevaranti koriste za čuvanje korisničkih imena i lozinki najmanje 100000 žrtava.

Istraživači su rekli da su sajber kriminalci koji stoje iza prevare varali žrtve, korisnike Facebooka, da im daju podatke za prijavljivanje na naloge nudeći im da im navodno otkriju ko posećuje njihove profile.

Prevaranti su zatim koristili ukradene podatke za prijavljivanje kako bi sa hakovanih naloga ostavljali spam komentare ispod Facebook objava, usmeravajući ljude na njihove veb sajtove. „Svi ovi veb sajtovi su na kraju vodili [žrtve] do lažne platforme za trgovanje Bitcoinom koja se koristi za prevaru i uzimanje „depozita“ od ljudi u iznosu od najmanje 250 evra [295 američkih dolara].“

Istraživači su rekli da nemaju dokaze o tome da li su podaci procurili ili im je pristupao i neko drugi.

Nezaštićena baza podataka Elasticsearch veličine 5,5 gigabajta sadržala je podatke najmanje 100000 korisnika Facebooka i bila je otvorena između juna i septembra ove godine a otkrivena je 21. septembra i zatvorena 22. septembra.

Podaci u otkrivenoj bazi podataka uključivali su korisnička imena i lozinke i IP adrese, komentare koje su prevaranti ostavljali na Facebook stranicama (sa hakovanih naloga) koji su ljude usmeravali na sumnjive veb sajtove, i podatke kao što su email adrese, imena i brojevi telefona žrtava prevare.

Kako bi potvrdili da je baza podataka aktivna i stvarna, istraživači su uneli lažne podatke za prijavljivanje na jednu od veb stranica prevaranata i potvrdili da su podaci zabeleženi.

Istraživači veruju da je dan nakon što su otkrili bazu podataka, ona napadnuta, i da se radilo o tzv. Meow napadu, koji je u potpunosti izbrisao sve podatke. Meow napadi su počeli jula ove godine i trajno izbrisali 1000 nezaštićenih baza podataka. Napad ostavlja reč „meow“ kao svojevrsnu vizit kartu, kaže istraživač Bob Diačenko.

Kad je reč o samoj prevari, žrtve su prevarene tako što im je obećano da će dobiti spisak sa imenima ljudi koji su nedavno posetili njihove profile. Preduslov za to je da ostave svoje podatke za prijavljivanje na nalog.

Istraživači su pronašli 29 domena povezanih sa ovom prevarom, a sajtovi su imali nazive kao što su askingviewer[.]com, capture-stalkers[.]com i followviewer[.]com.

Na veb sajtu prevaranata žrtva bi dobila obaveštenje poput ovog: „U poslednja 2 dana na vašoj stranici bilo je 32 posetioca profila! Nastavite da biste videli listu“. Žrtva se usmerava na link „Otvori listu!“ Kada klikne na to, šalje se na lažnu Facebook stranicu za prijavljivanje, gde se od žrtava traži da unesu svoje podatke za prijavljivanje. Nakon što to učine, pojavljuje se lažna stranica za učitavanje koja obećava da će korisnik dobiti celu listu, ali se zapravo on preusmerava na Google Play stranicu Facebookove aplikacije za analitiku koja nema nikakve veze sa ovom prevarom.

„U tom procesu prevaranti su sačuvali Facebook korisničko ime i lozinku žrtve u izloženoj bazi podataka za buduću upotrebu u drugim kriminalnim aktivnostima“, rekli su istraživači. „Oni su sačuvani u formatu otvorenog teksta, što olakšava svima koji su pronašli bazu podataka da ih pregledaju, preuzmu i ukradu.“

Napadači zatim koriste podatke žrtava za sledeću fazu napada - preuzimanje naloga i komentarisanje Facebook objava, sa linkovima do veb sajtova koji su u vlasništvu prevaranata a koji se koriste za prevare sa Bitcoinom. Kada Facebook prijatelj žrtve poseti jedan od tih veb sajtova, nudi mu se da se prijavi na besplatan nalog za trgovanje Bitcoinom ali uz depozit od 295 dolara za početak trgovanja.

„Uključujući linkove do lažnih informativnih veb sajtova, prevaranti su se nadali da će zaobići i zbuniti Facebookove alate za otkrivanje prevara i botova“, rekli su istraživači. „Da su hakovani nalozi stalno postavljali iste linkove do prevare sa Bitcoinom, društvena mreža bi ih brzo blokirala.“

Istraživači su poručili korisnicima Facebooka da, ako misle da su bili žrtva pokušaja prevare, odmah promene podatke za prijavljivanje.

„Ako ste koristili lozinku za Facebook na drugim nalozima, odmah je promenite kako biste ih zaštitili od hakovanja“, rekli su istraživači. „Preporučujemo upotrebu generatora lozinki za kreiranje jedinstvenih, jakih lozinki za svaki vaš privatni nalog i njihovo povremeno menjanje.“