"Не открывайте ссылки": CERT-UA предупредила о массовом взломе украинцев через Facebook

Мошенники используют фишинговые ссылки, которые работают только на мобильных телефонах. В CERT-UA заявляют, что данный взлом аккаунтов украинцев не связан с атакой 15 февраля. Злоумышленники массово рассылают в социальных сетях сообщения, при помощи которых взламывают и крадут данные украинцев, являющихся пользователями Facebook.

Подробности раскрыла правительственная команда реагирования на компьютерные чрезвычайные происшествия Украины (CERT-UA). ФОКУС в Google Новостях. Подпишись — и всегда будь в курсе событий.

В ходе исследования специалисты выяснили, что сообщения содержат ссылку, при открытии которой в мобильном браузере загружается HTML-страница, содержащая JavaScript-код. При его выполнении браузер переходит по URL-адресу с доменом 87yc[.]xyz, а уже там загружает и выполняет дополнительный JavaScript-код, имитирующий страницу авторизации Facebook и отправляющий введенные пользовательские данные злоумышленникам. В случае, если ширина экрана превышает 800 пикселей, ссылка отправляет на главную страницу сайта YouTube.

Как предполагает CERT-UA, таким образом система отфильтровывает не мобильные устройства. Эксперты также вышли на доменное имя rwi2v[.]eu, которое создано 4 февраля 2022 и связано с email-адресом [email protected][.]com, с которым, в свою очередь, связаны еще 7 подобных доменных имен, созданных в ноябре-декабре 2021 года. Их использует неустановленная группа лиц, называющая себя "TeamLucernaRD", с ноября 2021 года.

Цель злоумышленников — похищение аутентификационных данных пользователей Facebook. "Отношение данной активности к атаке на информационные ресурсы 15.02.2022 не подтверждено", — подчеркнули в CERT-UA. — "Призываем не переходить по подозрительным ссылкам и использовать мультфикатнорную