Tipu-tipu Pakai Facebook

Banyak cara digunakan untuk memperdaya orang-orang di dunia maya, yang belakangan kesohor adalah tipu-tipu pakai Facebook yang korbannya mencapai jutaan.

Dua insiden yang belum lama ini terjadi tersebut memanfaatkan Facebook sebagai media untuk mempengaruhi melalui iklan atau adware. Berikut pemaparanya.

Tipu-tipu Pakai Facebook 1

Tipuan pertama berawal dengan beberapa aplikasi adware yang dipromosikan secara agresif di Facebook sebagai pembersih dan pengoptimal sistem untuk perangkat Android menghitung jutaan pemasangan di Google Play Store.

Aplikasi tidak memiliki semua fungsi yang dijanjikan dan mendorong iklan saat mencoba bertahan selama mungkin di perangkat.

Untuk menghindari penghapusan, aplikasi bersembunyi di perangkat korban dengan terus mengubah ikon dan nama, menyamar sebagai Pengaturan atau Google Play Store itu sendiri.

Aplikasi adware menyalahgunakan komponen Contact Provider Android, yang memungkinkan mereka mentransfer data antara perangkat dan layanan online.

Subsistem dipanggil setiap kali aplikasi baru diinstal, sehingga adware mungkin menggunakannya untuk memulai proses penayangan iklan. Bagi pengguna, ini mungkin terlihat seperti iklan didorong oleh aplikasi sah yang mereka instal.

Pengguna juga tidak perlu menjalankannya setelah penginstalan untuk melihat iklan karena adware memulai sendiri secara otomatis tanpa interaksi apapun.

Tindakan pertama dari aplikasi yang mengganggu ini adalah membuat layanan permanen untuk menampilkan iklan. Jika proses “dimatikan” (dihentikan), ia segera diluncurkan kembali.

Jutaan unduhan

Pengguna yakin untuk mempercayai aplikasi adware karena mereka melihat tautan Play Store di Facebook, meninggalkan sedikit keraguan.

Hal ini mengakibatkan jumlah unduhan yang luar biasa tinggi untuk jenis aplikasi tertentu, seperti yang ditunjukkan dalam daftar di bawah ini:

• Junk Cleaner, cn.junk.clean.plp, 1M+ unduhan
• EasyCleaner, com.easy.clean.ipz, 100K+ unduhan
• Power Doctor, com.power.doctor.mnb, 500K+ unduhan
• Super Clean, com.super.clean.zaz, 500K+ unduhan
• Full Clean -Clean Cache, org.stemp.fll.clean, 1M+ unduhan
• Fingertip Cleaner, com.fingertip.clean.cvb, 500K+ unduhan
• Quick Cleaner, org.qck.cle.oyo, 1M+ unduhan
• Keep Clean, org.clean.sys.lunch, 1M+ unduhan
• Windy Clean, in.phone.clean.www, 500K+ unduhan
• Carpet Clean, og.crp.cln.zda, 100K+ unduhan
• Cool Clean, syn.clean.cool.zbc, 500K+ unduhan
• Strong Clean, in.memory.sys.clean, 500K+ unduhan

Tipu-tipu Pakai Facebook 2

Tipuan kali ini melalui phising dengan kode Ducktail, mengincar profesional di LinkedIn untuk mengambil alih akun bisnis Facebook yang mengelola iklan perusahaan.

Operator Ducktail memiliki cakupan penargetan yang terbatas dan memilih korban mereka dengan hati-hati, mencoba menemukan orang yang menjadi admin di akun medsos perusahaan mereka.

Dari hasil penyelidikan pakar keamanan siber diketahui bahwa aktor ancaman berasal dari Vietnam sejak 2021, dan ini diketahui dari bukti aktivitas mereka sejak tahun 2018.

Ini berarti bahwa Ducktail telah berlangsung setidaknya selama satu tahun dan mungkin telah aktif selama hampir empat tahun sekarang.

Mencuri Akun Facebook

Pelaku memburu karyawan di LinkedIn yang memiliki akses akun bisnis Facebook, misalnya, orang yang terdaftar bekerja di “media digital” dan “pemasaran digital”.

Sebagai bagian dari percakapan dengan target potensial, pelaku menggunakan social engineering dan penipuan untuk meyakinkan mereka agar mengunduh file yang di-hosting di layanan hosting cloud yang sah seperti Dropbox atau iCloud.

Arsip yang diunduh berisi file gambar JPEG yang relevan dengan diskusi antara scammer dan karyawan, tetapi juga menyertakan file yang dapat dieksekusi yang dibuat agar tampak seperti dokumen PDF.

File ini sebenarnya adalah malware .NET Core yang berisi semua dependensi yang diperlukan, memungkinkannya berjalan di komputer mana pun, bahkan yang tidak menginstal .NET runtime.

Saat dijalankan, malware memindai cookie browser di Chrome, Edge, Brave, dan Firefox, mengumpulkan informasi sistem, dan akhirnya menargetkan kredensial Facebook.

Malware berinteraksi langsung dengan berbagai titik akhir Facebook dari mesin korban menggunakan cookie sesi Facebook (dan kredensial keamanan lainnya yang diperoleh melalui cookie sesi awal) untuk mengekstrak informasi dari akun Facebook korban.

Permintaan ke titik akhir Facebook tampak asli karena berasal dari browser korban menggunakan cookie sesi yang valid.

Malware merayapi berbagai halaman Facebook untuk mengumpulkan beberapa token akses dan menggunakannya untuk interaksi titik akhir yang tidak terhalang pada tahap selanjutnya.

Informasi yang dicuri termasuk cookie, alamat IP, informasi akun (nama, email, tanggal lahir, ID pengguna), kode 2FA, dan data geolokasi, yang pada dasarnya memungkinkan pelaku untuk melanjutkan akses ini dari mesin mereka.

Detail khusus bisnis yang dicuri dari akun yang disusupi di antaranya adalah:

• Status verifikasi.
• Batas iklan.
• Daftar pengguna.
• Daftar klien.
• ID.
• Mata uang.
• Siklus pembayaran.
• Jumlah yang dibelanjakan.
• DSL adtrust (batas pembelanjaan dinamis).

Data akhirnya dieksfiltrasi melalui bot Telegram dan terjadi di antara periode yang ditentukan, atau ketika akun Facebook dicuri, proses malware keluar, atau ketika malware mogok.

Bajak Akun Facebook

Malware tidak hanya mencuri informasi dari akun Facebook korban, tetapi juga membajaknya dengan menambahkan alamat email pelaku ke akun Facebook Business yang disusupi.

Saat menambahkan pengguna, mereka menambahkan izin yang memungkinkan pelaku mengakses penuh ke akun. Pelaku kemudian memanfaatkan hak istimewa baru mereka untuk mengganti rincian keuangan yang ditetapkan.

Sehingga mereka dapat mengarahkan pembayaran ke akun mereka atau menjalankan kampanye Iklan Facebook dengan uang dari perusahaan yang menjadi korban.

Motif operator Ducktail sudah jelas mencari keuntungan dengan mudah di lingkungan yang membutuhkan waktu untuk menemukan penipuan dan menghentikannya.

Sumber berita:

BleepingComputer