Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA повідомила про фішингову атаку. Зловмисники розсилають у Facebook повідомлення, за допомогою яких отримують доступ до автентифікаційних даних користувачів цієї соціальної мережі.

В CERT-UA зазначають, що зв’язок цього фішингу з потужною кібератакою на сайти державних установ та банків, що відбулася 15 лютого, не підтверджено.

Приклад вихіднього коду HTML-сторінок
Зображення: CERT-UA
  • CERT-UA з’ясували, що повідомлення від зловмисників містять посилання, наприклад — hxxps://rwi2v[.]eu/Q2llT5wJ. У разі переходу за ним, у мобільному браузері завантажується HTML-сторінка з JavaScript-кодом.
  • Виконання коду призведе до відкриття браузером іншої URL-адреси з доменом — 87yc[.]xyz.
  • Далі почне завантажуватися та виконуватися додатковий JavaScript-код, що імітує сторінку авторизації Facebook та відправляє введені дані користувача зловмисникам.
  • Якщо ширина екрана перевищує 800 пікселів, посилання перенаправляє на головну сторінку YouTube. У CERT-UA припускають, що так зловмисники фільтрують не мобільні пристрої.
  • За фішинговою атакою, за даними Урядової команди, стоїть група TeamLucernaRD, яка таким чином зламує та викрадає дані користувачів Facebook з листопада 2021 року.

У CERT-UA закликають не переходити за подібними посиланнями та використовувати мультифакторну автентифікацію.