Investigadores de seguridad han descubierto una operación global masiva de phishing y fraude con tarjetas de crédito dirigida a los usuarios de Facebook después de que se toparon con una base de datos no segura, que contenía datos privados que pertenecían al menos a 100.000 víctimas.
Según los investigadores de vpnMentor, los delincuentes detrás de la estafa estaban engañando a los usuarios de Facebook para que proporcionaran credenciales de inicio de sesión para sus cuentas privadas. Las credenciales de inicio de sesión para las cuentas de Facebook se obtuvieron a través de una red de sitios web propiedad del grupo del ciberdelincuente.
Los usuarios de Facebook fueron atraídos con la promesa de mostrarles una lista de personas que habían visitado sus perfiles recientemente; sin embargo, al hacer clic en un enlace proporcionado por el sitio web de un atacante, las víctimas recibieron una página de inicio de sesión de Facebook falsa que les pedía que ingresaran su credenciales de acceso. Después de ingresar las credenciales de inicio de sesión en la ventana, apareció una página de carga falsa que prometía compartir la lista completa. A continuación, la víctima fue redirigida a la página de Google Play para una aplicación de análisis de Facebook no relacionada.
“En el proceso, los estafadores guardaron el nombre de usuario y la contraseña de Facebook de la víctima en la base de datos expuesta para su uso futuro en sus otras actividades delictivas. Estos se almacenaron en formato de texto sin cifrar, lo que facilita que cualquiera que encuentre la base de datos pueda verlos, descargarlos y robarlos. Los comentarios negativos sobre la aplicación de análisis de las víctimas del fraude, que expresan su insatisfacción con una aplicación aparentemente rota, muestran que muchas personas han pasado por toda la estafa y sin saberlo, les han robado sus datos ”, explicaron los investigadores.
Los estafadores utilizaron las credenciales de inicio de sesión robadas para compartir comentarios de spam en publicaciones de Facebook utilizando cuentas comprometidas, dirigiendo a las personas a su red de sitios web fraudulentos. En última instancia, todos los sitios web maliciosos llevaron a una plataforma de comercio de Bitcoin falsa utilizada para estafar a las personas con 'depósitos' de al menos 250 €.
Los investigadores dijeron que la base de datos expuesta contenía más de 5,5 GB de datos, incluidos inicios de sesión y contraseñas para entre 150.000 y 200.000 cuentas en Facebook, contornos de texto para los comentarios que los estafadores harían en los hosts de Facebook, a través de una cuenta pirateada, dirigiendo a las personas a sitios web sospechosos y fraudulentos. , Información de identificación personal (correos electrónicos, nombres y números de teléfono de 100.000 personas que se habían registrado en un sitio de Bitcoin fraudulento), dominios de los sitios web utilizados en la estafa, así como detalles técnicos sobre la operación de fraude.
vpnMentor dijo que se comunicó con Facebook sobre su descubrimiento, sin embargo, un día después de que se descubrió la base de datos, fue víctima de un ataque cibernético llamado Meow, que borró por completo todos sus datos. La base de datos se desconectó el mismo día y ya no era accesible, dijeron los investigadores. vpnMentor cree que los estafadores eliminaron la base de datos después del ataque Meow.
A principios de este año, docenas de instancias de Elasticsearch y MongoDB no seguras expuestas en Internet fueron atacadas por una campaña de Meow, en la que actores maliciosos borraban bases de datos sin ninguna explicación o una nota de ransomware.
