Cyberthreat.id – Kampanye phishing baru menggunakan postingan Facebook sebagai bagian dari rantai serangannya untuk mengelabui pengguna agar memberikan kredensial akun dan informasi identitas pribadi (PII) mereka.

Dikutip dari Bleeping Computer, perusahaan keamanan Trustwave mengungkapkan bahwa email yang dikirim ke target berpura-pura menjadi masalah pelanggaran hak cipta di salah satu kiriman Facebook penerima, memperingatkan bahwa akun mereka akan dihapus dalam waktu 48 jam jika tidak ada banding yang diajukan.

Tautan untuk mengajukan banding atas penghapusan akun adalah postingan Facebook yang sebenarnya di facebook.com, membantu pelaku ancaman melewati solusi keamanan email dan memastikan pesan phishing mereka masuk ke kotak masuk target.

“Posting Facebook berpura-pura menjadi Dukungan Halaman, dan menggunakan logo Facebook agar tampak seolah-olah perusahaan yang mengelolanya,” kata Trustwave

Namun, postingan ini menyertakan tautan ke situs phishing eksternal yang dinamai Meta, perusahaan pemilik Facebook, untuk sedikit mengurangi kemungkinan korban menyadari penipuan tersebut.

TrustWave menyebutkan, ada tiga URL berikut, yang tetap online hingga saat ini. Yakni,  meta[.]untukpenggunabisnis[.]xyz/?fbclid=123, meta[.]untukpenggunabisnis[.]xyz/main[.]php, dan meta[.]untukpenggunabisnis[.]xyz/checkpoint[.]php

Perusahaan keamanan menjelaskan, situs phishing dibuat dengan hati-hati agar tampak seperti halaman banding hak cipta Facebook yang sebenarnya, berisi formulir di mana korban diminta untuk memasukkan nama lengkap, alamat email, nomor telepon, dan nama pengguna Facebook mereka.

Setelah mengirimkan data ini, halaman tersebut juga mengumpulkan alamat IP korban dan informasi geolokasi dan mengekstrak semuanya ke akun Telegram di bawah kendali aktor ancaman. Pelaku ancaman mungkin mengumpulkan informasi tambahan untuk melewati perlindungan sidik jari atau pertanyaan keamanan saat mengambil alih akun Facebook korban.

Sementara itu, pengalihan membawa korban ke halaman phishing berikutnya, yang menampilkan permintaan kata sandi satu kali (OTP) 6 digit palsu dengan pengatur waktu. Kode apa pun yang dimasukkan korban akan menghasilkan kesalahan, dan jika 'Perlu cara lain untuk mengautentikasi?' diklik, situs dialihkan ke situs Facebook yang sebenarnya.

“Analis kami juga menemukan bahwa pelaku ancaman menggunakan Google Analytics di halaman phishing mereka untuk membantu mereka melacak efisiensi kampanye mereka,” kata Trustwave.

Trustwave melaporkan telah menemukan banyak akun Facebook yang menggunakan postingan palsu yang dibuat untuk tampil sebagai halaman dukungan yang mengarahkan korban ke situs web phishing. Posting ini menggunakan pemendek URL untuk menautkan ke situs phishing agar tidak ditandai dan dihapus oleh platform media sosial. Korban dapat mendarat di postingan ini melalui email phishing, seperti dalam kampanye yang disajikan dalam laporan ini, atau melalui pesan instan yang diterima di Facebook.