Investigadores de seguridad han descubierto una operación global masiva de phishing y fraude con tarjetas de crédito dirigida a los usuarios de Facebook después de que se toparon con una base de datos no segura, que contenÃa datos privados que pertenecÃan al menos a 100.000 vÃctimas.
Según los investigadores de vpnMentor, los delincuentes detrás de la estafa estaban engañando a los usuarios de Facebook para que proporcionaran credenciales de inicio de sesión para sus cuentas privadas. Las credenciales de inicio de sesión para las cuentas de Facebook se obtuvieron a través de una red de sitios web propiedad del grupo del ciberdelincuente.
Los usuarios de Facebook fueron atraÃdos con la promesa de mostrarles una lista de personas que habÃan visitado sus perfiles recientemente; sin embargo, al hacer clic en un enlace proporcionado por el sitio web de un atacante, las vÃctimas recibieron una página de inicio de sesión de Facebook falsa que les pedÃa que ingresaran su credenciales de acceso. Después de ingresar las credenciales de inicio de sesión en la ventana, apareció una página de carga falsa que prometÃa compartir la lista completa. A continuación, la vÃctima fue redirigida a la página de Google Play para una aplicación de análisis de Facebook no relacionada.
“En el proceso, los estafadores guardaron el nombre de usuario y la contraseña de Facebook de la vÃctima en la base de datos expuesta para su uso futuro en sus otras actividades delictivas. Estos se almacenaron en formato de texto sin cifrar, lo que facilita que cualquiera que encuentre la base de datos pueda verlos, descargarlos y robarlos. Los comentarios negativos sobre la aplicación de análisis de las vÃctimas del fraude, que expresan su insatisfacción con una aplicación aparentemente rota, muestran que muchas personas han pasado por toda la estafa y sin saberlo, les han robado sus datos ”, explicaron los investigadores.
Los estafadores utilizaron las credenciales de inicio de sesión robadas para compartir comentarios de spam en publicaciones de Facebook utilizando cuentas comprometidas, dirigiendo a las personas a su red de sitios web fraudulentos. En última instancia, todos los sitios web maliciosos llevaron a una plataforma de comercio de Bitcoin falsa utilizada para estafar a las personas con 'depósitos' de al menos 250 €.
Los investigadores dijeron que la base de datos expuesta contenÃa más de 5,5 GB de datos, incluidos inicios de sesión y contraseñas para entre 150.000 y 200.000 cuentas en Facebook, contornos de texto para los comentarios que los estafadores harÃan en los hosts de Facebook, a través de una cuenta pirateada, dirigiendo a las personas a sitios web sospechosos y fraudulentos. , Información de identificación personal (correos electrónicos, nombres y números de teléfono de 100.000 personas que se habÃan registrado en un sitio de Bitcoin fraudulento), dominios de los sitios web utilizados en la estafa, asà como detalles técnicos sobre la operación de fraude.
vpnMentor dijo que se comunicó con Facebook sobre su descubrimiento, sin embargo, un dÃa después de que se descubrió la base de datos, fue vÃctima de un ataque cibernético llamado Meow, que borró por completo todos sus datos. La base de datos se desconectó el mismo dÃa y ya no era accesible, dijeron los investigadores. vpnMentor cree que los estafadores eliminaron la base de datos después del ataque Meow.
A principios de este año, docenas de instancias de Elasticsearch y MongoDB no seguras expuestas en Internet fueron atacadas por una campaña de Meow, en la que actores maliciosos borraban bases de datos sin ninguna explicación o una nota de ransomware.
