Facebook: „Bist du das?“-Videos. Innerhalb von zwei Wochen wurden knapp 500.000 Nutzer getäuscht!

Autor: Tom Wannenmacher

Untersuchungen haben eine groß angelegte Phishing-Welle auf Facebook aufgedeckt. Zudem konnte man auch den Cyberbetrüger identifizieren! Es geht dabei um die „Bist du das?“-Videos!

CyberNews hat uns interessanten Daten und Fakten zu den „Bist du das?- oder „Du bist es“-Videos, die auf Facebook Ihr Unwesen treiben, zukommen lassen. CyberNews selbst erarbeitet unter anderem Analysen zum Thema Cybersicherheit. CyberNews schreibt:

Unsere Untersuchung einer bösartigen Facebook-Messenger-Nachricht hat eine groß angelegte Phishing-Operation auf Facebook aufgedeckt. Zudem konnten wir den Cyberbetrüger, der hinter der Phishing-Kampagne steckt, sowie seine Absichten dahinter identifizieren.

„Bist du das?“ ist ein Phishing-Betrug, der bereits seit mindestens 2017 in verschiedenen Formen auf Facebook kursiert. Sie beginnt mit einer Facebook-Nachricht, die von einem Ihrer Freunde gesendet wird. Der „Freund“ behauptet, ein Video oder Bild gefunden zu haben, in dem Sie zu sehen sind.

Die Nachricht tarnt sich als Video, das, wenn Sie darauf klicken, durch eine Kette von Websites führt, die mit bösartigen Skripten infiziert sind.

Diese Skripte ermitteln Ihren Standort, das von Ihnen verwendete Gerät und Ihr Betriebssystem. Sie führen Sie dann zu einer bösartigen Facebook-Phishing-Seite, um Ihre Anmeldedaten abzufangen und, je nach Gerät, mit Adware oder anderer Malware zu infizieren.

Knapp 500.000 Opfer

Zum Zeitpunkt der Erstellung dieser Analyse am 8. Februar 2021 lag die Zahl der potenziellen Opfer bei über 480.000 seit Beginn der Phishing-Kampagne am 26. Januar 2020, wobei 77 % der Opfer in Deutschland ansässig sind.

Bild: cybernews.com
Bild: cybernews.com

Aufgrund des großen Umfangs der Kampagne und der Tatsache, dass sie anscheinend hauptsächlich auf Benutzer in Deutschland abzielt, teilten wir unseren Bericht mit CERT Deutschland, Facebook und wal.ee (dem von dem Cyberbetrüger verwendeten URL-Verkürzungsdienst). Außerdem haben wir die Cyberpolizei der Dominikanischen Republik über den Vorfall informiert.

Es war jedoch nicht sofort klar, ob der Cyberbetrüger, der hinter der Phishing-Operation steckt, die kompromittierten Facebook-Konten zu einem anderen Zweck als der Verbreitung der Phishing-Kampagne über die Messenger-Kontakte der Opfer verwendet hat.

Interessanterweise nutzte der Cyberbetrüger jedoch einen legitimen Webstatistikdienst eines Drittanbieters, um die Kampagne zu verfolgen, was uns half, unsere Untersuchung durchzuführen und das Startdatum der Kampagne, die Anzahl der betroffenen Benutzer und weitere nützliche Informationen herauszufinden.

So funktioniert die Phishing-Kampagne

Die Nachricht

Die Kampagne wird eingeleitet, indem das potenzielle Opfer eine Nachricht von einem seiner Facebook-Kontakte erhält. Die Nachricht enthält einen scheinbaren Videolink mit einem suggestiven Text, der das Opfer auf Deutsch fragt: „Bist du das?“. Es scheint, dass die Nachricht das Open Graph-Protokoll von Facebook verwendet, um die gefälschte Videovorschau so zu manipulieren, dass sie den Namen des Empfängers enthält.

Screenshot: Facebook Nachricht. Am Ende landet man auf einer Phishingseite
Screenshot: Facebook Nachricht. Am Ende landet man auf einer Phishingseite

Die „legitime“ Phishing-Seite

Interessanterweise ist das bösartige Skript, das das Opfer auf die Phishing-Seite umleitet, in einer scheinbar kompromittierten legitimen Website versteckt.

http://108xxxxxxx.rsc.cdn77.org/Uploaded/Content/26d0ba85d866423db3d591c9835d72ef/saliendopadentro.xml
Die Website scheint legitim zu sein. Es wurde jedoch eine bösartige XML-Datei in den Code der Website eingefügt.

Die Datei enthält ein kleines Skript, das eine Umleitung zu einer Kurz-URL auslöst, die das Opfer dann zu einer bösartigen Phishing-Seite führt. Die Verwendung einer legitimen Website als Host für bösartige Weiterleitungsskripte macht den Phishing-Angriff effektiver, da er dazu verwendet werden kann, die Blacklists von Facebook zu umgehen.

Bild: cybernews.com
Bild: cybernews.com

Wie wir den Cyberbetrüger hinter der Kampagne enttarnt haben

Als wir die Phishing-Seite untersuchten, stellten wir fest, dass sie HTML-Inhalte mit Open Graph-Metadaten und verschleierte Bilder mit Base64-Kodierung enthält.

Zu unserer Überraschung stellten wir fest, dass das bösartige Skript vom Autor signiert war. Aus dem Spanischen übersetzt, bedeutet die Signatur des Autors

„Entwickelt von BenderCrack.com“

Bild: cybernews.com
Bild: cybernews.com

Die in der Signatur genannte Domain existiert nicht mehr. Bei weiteren Untersuchungen entdeckten wir jedoch eine Facebook-Seite, die mit dem Ersteller des schädlichen Skripts in Verbindung stehen könnte:

Bild: cybernews.com
Bild: cybernews.com

In der Zwischenzeit enthält die ursprüngliche Phishing-Seite auch ein Skript, das die von den Opfern eingegebenen Anmeldeinformationen abgreift und ihre Standortdaten sammelt:

Bild: cybernews.com
Bild: cybernews.com

Die bösartigen Skripte werden auf dem privaten Server des Cyberbetrügers gehostet:

https://lapirixxx.xyz

Wir entdeckten auch legitimen Code zur Verfolgung von Drittanbieter-Diensten, der in die Phishing-Seite implantiert war.

Nachdem wir die Kennung erhalten hatten, konnten wir auf das Dashboard des Cyberbetrügers zugreifen, um den Umfang der Kampagne zu ermitteln.

Bild: cybernews.com
Bild: cybernews.com

Es scheint, dass seit dem Start der bösartigen Kampagne insgesamt mehr als 480.000 Benutzer auf den Phishing-Link geklickt haben. Da wir Zugriff auf das Dashboard des Cyberbetrügers hatten, konnten wir die Geräte und Browser identifizieren, die von den betroffenen Nutzern überwiegend verwendet wurden.

MIMIKAMA

MIMIKAMA

Wir waren in der Lage, andere, potenziell bösartige Aktivitäten zu identifizieren und zu korrelieren, die wir auf denselben Bedrohungsakteur zurückführten.

Die Facebook-Phishing-Kampagne trägt den Namen Tamo Trabajando, was so viel bedeutet wie „wir arbeiten“.

MIMIKAMA

Das Motiv

Obwohl Facebook über ein strenges Kontrollsystem verfügt, um die Verbreitung von Malware und bösartigen Links zu stoppen, sind diese Art von Kampagnen ausgeklügelt genug, um diese Maßnahmen zumindest zeitweise zu umgehen.

Es ist klar, dass die “ Bist du das?“-Video Phishing-Kampagne auf deutsche Bürger abzielte, um deren Anmeldedaten abzugreifen. Was jedoch nicht sofort klar war, ist, ob der massenhafte Missbrauch der angegriffenen Facebook-Konten zu einem anderen Zweck als der Verbreitung der Kampagne durchgeführt wurde.

Was jedoch auf weitere Motive des Cyberbetrügers hindeuten könnte, ist die Tatsache, dass die Opfer nach dem Abgreifen ihrer Anmeldedaten auf eine bösartige Website umgeleitet wurden, die ihnen entweder Adware oder Malware lieferte.

MIMIKAMA

Die andere Kampagne des Cyberbetrügers- Blacksar Inc. – scheint mit weiteren bösartigen Websites und Malware-Kampagnen verbunden zu sein. Wir haben mehr spanische Wörter im Code beobachtet, wie z. B. saliendopadentro, Desarrollado por usw.

Eine der bösartigen Blacksar-Domänen wurde von der Dominikanischen Republik aus registriert, was stark darauf hindeutet, dass der Cyberbetrüger aus einem spanischsprachigen Land oder sogar der Dominikanischen Republik selbst stammt.

MIMIKAMA

Eine interessante Kampagne und ein interessanter Tracking-Code war LA PARITA, der ein bestimmtes persönliches Facebook-Profil und dessen Besucher verfolgte. Diese Person schien ihren Sitz in der Dominikanischen Republik zu haben.

MIMIKAMA

Zu diesem Zeitpunkt haben wir unseren Bericht, unsere Open-Source-Informationen und alle weiteren Details, die wir während unserer Analyse gesammelt haben, an die Computer Emergency Response Teams (CERTs) in Deutschland und der Dominikanischen Republik geschickt.

Schritte, die wir unternommen haben, um die Bedrohung zu entschärfen

  • Wir haben die Phishing-Kampagne mit den relevanten Informationen an Facebook gemeldet, um die Verbreitung der Kampagne auf der Social-Media-Plattform zu stoppen.
  • Wir haben den Linkverkürzungsdienst wal.ee informiert, die Kurz-URL zu deaktivieren, die auf die bösartige Facebook-Phishing-Seite umleitet. Zum Zeitpunkt der Veröffentlichung haben sie das bösartige Skript von ihrer Website entfernt.
  • Wir haben alle relevanten Informationen und Beweise aus unserer Untersuchung an CERT Germany gesendet, da es offensichtlich ist, dass die Kampagne hauptsächlich auf deutsche Bürger abzielt.
  • Wir haben die relevanten Informationen an das dominikanische CERT geschickt, da einige Artefakte und Beweise darauf hinweisen, dass die Kampagne von dort aus gestartet wurde.
  • Wir haben die vom Bedrohungsakteur kompromittierte Website darüber informiert, dass sie bösartige Skripte ausliefert.

Wie Sie sich vor Phishern schützen können

  • Verwenden Sie eindeutige und komplexe Passwörter für alle Ihre Online-Konten. Passwort-Manager helfen Ihnen bei der einfachen Erstellung von sicheren Passwörtern und benachrichtigen Sie über die Wiederverwendung von Passwörtern.
  • Verwenden Sie, wenn möglich, eine Multi-Faktor-Authentifizierung.
  • Seien Sie misstrauisch gegenüber allen Nachrichten, die Sie erhalten, auch von Ihren Kontakten. Phishing-Angriffe nutzen in der Regel eine Art von Social Engineering, um Benutzer dazu zu verleiten, auf bösartige Links zu klicken oder infizierte Dateien herunterzuladen.
  • Achten Sie auf verdächtige Aktivitäten in Ihrem Facebook- oder anderen Konten.

Was tun, wenn man betroffen ist?

  1. Umgehend das Passwort des Facebook-Accounts ändern sowie danach ABMELDEN und mit dem NEUEN PASSWORT wieder anmelden.
  2. Überprüfen, ob die korrekte Mail-Adresse im Facebook-Account hinterlegt ist.
  3. Deine Freundesliste über das Missgeschick informieren.
  4. Das Smartphone und/oder PC nach Schadsoftware durchsuchen.
  5. Ggf. alle schädlichen Browsererweiterungen im Browser entfernen und prüfen, ob noch weitere Erweiterungen/AddOns im Browser vorhanden sind, die man nicht installiert hat bzw. die man nicht kennt.

Quelle: Cybernews

Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.