Utspekulert Facebook-phishing

Svindlere misbruker Facebooks app-plattform for å gjennomføre phishing-svindel.

Oppdatering: Phishingsiden fra dette eksempelet ser ut til å ha blitt tatt ned av Facebook.

NorSIS har nylig blitt oppmerksom på en svært utspekulert form for phishing, der målet etter alt å dømme er tilgang på Facebook-profilen til brukere som administrerer Facebook-sider, samt personlige detaljer.

Dette ser ikke ut til å være et nytt fenomen, en lignende svindelkampanje fra desember 2017 er blitt diskutert i Facebooks hjelpeforum.

Phishingen skjer ved at man får en e-post med tittel “Suspected Page Forgery”, tilsynelatende sendt fra “Facebook “.

I e-posten står det at innhold på mottakers Facebook-side har blitt rapportert for brudd på opphavsrett (copyright violation), og at man må gå inn på Facebook og bekrefte at man har bruksrettigheter til innholdet.

facebook

(Klikk på bildet for større versjon)

Følger man lenken i e-posten havner man på en side inne på Facebook hvor det bes om bl.a. navn, e-post, telefonnummer, passord og fødselsdato.

facebook

(Klikk på bildet for større versjon)

Det som gjør denne phishingen så spesiell, er at bakmennene bruker Facebooks app-plattform. Selve siden man havner på er nemlig en Facebook-app, laget av en tredjepart, ikke av Facebook. Dette er ikke veldig synlig med mindre man undersøker URL-en, som begynner med https://apps.facebook.com/. Ved å benytte Facebooks egen plattform som vert for phishing-siden, blir det langt enklere for svindlerne å lure folk. Mange vil nok se at de er på domenet til facebook.com og dermed regne med at siden er ekte.

E-posten og den falske siden er også ganske profesjonelt utformet, og ser ekte ut. Likevel er det noen få kjennetegn som også her avslører svindelen:

  • E-posten truer med å suspendere kontoen om du ikke gjør noe innen 48 timer. Slike forsøk på å spille på frykt og skape følelse av hastverk er et kjent svindelknep.
  • E-posten inneholder ingen personlige detaljer, det er et tegn på at e-posten er sendt ut til mange. Vanlige e-poster fra Facebook-support bruker som oftest navnet til mottakeren.
  • Lenken i e-posten ser ekte ut (https://www.facebook.com/contact/appeal/1594873127417457), men om man holder musepekeren over den, ser man at den egentlig skjuler en annen URL: https://apps.facebook.com/166154786810412/?=contact/pages/166154786810412. Selv om denne også ser ekte ut, er det et faresignal når en lenke ikke går dit den påstår. En ekte e-post fra Facebook ville aldri inneholdt en slik falsk lenke.
  • Mesteparten av teksten på phishingsiden er profesjonell og ser ut til å være kopiert fra Facebooks hjelpesider. Men tittelen og første avsnitt inneholder en del feil: “You have been reported for copyright content”, “you must put valid data on all the fields” og “We made abble this form for”. Man burde kunne gå ut ifra at Facebook evner å skrive korrekt engelsk.
  • Man kommer seg kun inn til phishingsiden dersom man er logget inn på Facebook. Da er det litt rart at passord etterspørres som en del av informasjonen. Det finnes noen få tilfeller hvor Facebook ber om passord selv om man er logget inn, men det er kun når man gjør sikkerhetskritiske endringer på egen profil. Facebook ber aldri om passord som en del av et support-skjema.
  • Det bes om fødselsdato. Dette er overhode ikke relevant i den oppgitte sammenhengen og burde få varsellampene til å blinke.
  • Brukere med tekniske ferdigheter vil også kunne undersøke e-posten og se at den ikke består SPF-sjekker. Med andre ord er det lite sannsynlig at e-posten faktisk er sendt fra @facebooksupport.com.

NorSIS anbefaler

Om du får en slik e-post fra “Facebook”, se nøye etter om den inneholder tegn på svindel. Undersøk bl.a. eventuelle lenker ved å holde musepekeren over dem. Dersom de går til et annet sted det er gitt uttrykk for, så er nok e-posten falsk. Legg den i så fall i søppelpost.

Om du har gått inn på phishingsiden/appen, så kan du rapportere den til Facebook ved å trykke på Rapporter/kontakt nederst i det hvite feltet til høyre.

Vær også oppmerksom på at du kan komme over denne phishing-kampanjen med variasjoner i innholdet. F.eks. er det ikke sikkert at tittel, avsenderadresse og URL-er vil være helt like.

Ressurser

Nettvett.no – Sosial manipulering
Nettvett.no – Phishing
Nettvett.no – Falske e-poster

Publisert: 24. juli 2018

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.