Mimecast Logo
Obtenir un devis

    Piratage de compte Facebook

    29 janvier 2025

    Par Samantha Clarke, Hiwot Mendahun, Ankit Gupta et l'équipe Mimecast Threat Research

    Points clés

    Ce que vous apprendrez dans cette notification

    • Ciblant principalement les entreprises de vente au détail, de médias et d'édition aux États-Unis et au Royaume-Uni
    • Les campagnes sont diffusées via Recruitee, un CMS de recrutement légitime
    • L’intention première est la collecte d’informations d’identification

    Flux de campagne

    Facebook-Account-Takeover-flow.jpg

    Les chercheurs Mimecast Threat ont récemment surveillé une campagne de phishing utilisant Recruitee, un système de gestion de recrutement tiers légitime (CMS). Les acteurs malveillants exploitent la plateforme pour envoyer des e-mails d'offres d'emploi frauduleuses, trompant les utilisateurs finaux et contournant potentiellement les mécanismes de détection en utilisant un service de confiance. En outre, ils enregistrent des domaines ressemblants et les intègrent dans les e-mails générés par Recruitee, en usurpant l'identité de marques bien connues, augmentant ainsi la crédibilité de leurs attaques de phishing.

    Facebook-Account-Takeover-1.png


    L'appât de cette campagne repose sur une offre d'emploi frauduleuse pour un responsable des médias sociaux, incitant les victimes à cliquer sur un lien pour postuler. Après une enquête plus approfondie, les domaines utilisés dans les campagnes ont été enregistrés récemment, à l'aide de services tels que Porkbun et Hostinger, appréciés des acteurs malveillants pour leur faible coût, leur facilité d'utilisation et leur rapidité d'installation.

    Une fois que l'utilisateur a cliqué sur le lien, des CAPTCHAS aléatoires et un filtrage IP sont utilisés pour empêcher toute détection automatique, avant qu'il ne soit redirigé vers une page de connexion.


    Facebook-Account-Takeover-2.png


    Une page d'hameçonnage bien structurée apparaît, avec des marques et des logos pour plus de crédibilité. L'objectif principal de ces campagnes est de récolter les identifiants Facebook et l'utilisateur est invité à créer un compte via Facebook ou à entrer son adresse e-mail/numéro de téléphone. Dans les deux cas, l'utilisateur est amené à saisir ses identifiants Facebook.


    Facebook-Account-Takeover-3.png


    Après la saisie de l'identifiant, l'utilisateur est invité à procéder à une seconde authentification afin que l'acteur malveillant puisse prendre le contrôle du compte Facebook. Toutes les informations saisies sur ces pages sont automatiquement saisies dans les enregistreurs Telegram afin de garantir une prise de contrôle des comptes en temps voulu.


    Facebook-Account-Takeover-4.png


    L’activité de la campagne a connu un pic significatif en septembre et a repris fin novembre.


    Facebook-Account-Takeover-5.png


    Tactiques, techniques et procédures :

    T1566.002 - Phishing : Lien de spear phishing
    T1598.002 - Phishing pour des informations
    T1204.001 - Exécution par l'utilisateur : Lien malveillant
    T1596.002 - Recherche de ressources appartenant à la victime sur des sites Web ou domaines ouverts (par exemple, création de domaines similaires)
    T1189 - Compromission par drive-by (sites de phishing avec filtrage CAPTCHA/IP)
    T1070.004 - Suppression d'indicateurs sur l'hôte : Exfiltration automatisée via des bots Telegram

    Protection Mimecast

    Nous avons identifié plusieurs attributs dans les campagnes qui ont été ajoutés à nos capacités de détection.

    Ciblage :

    États-Unis et Royaume-Uni, principalement dans les secteurs de la vente au détail, des médias et de l'édition


    CIO :

    Sujets :

    Votre talent a attiré notre attention. Rejoignez l'équipe Red Bull
    Prêt·e à donner propulser votre talent vers de nouveaux sommets avec Red Bull ?
    Libérez votre potentiel : une opportunité d'emploi exclusive chez Coca Cola

    URL :

    redbulldigitalteam[.]com
    redbull-socialmedia[.]com
    redbulldigitalcareers[.]com
    redbull-jobscareers[.]com
    redbullcareers-jobs[.]com
    digitalredbull-team[.]com
    redbullsociamedia-careers[.]com
    redbulldigital-socialmedia[.]com
    redbullcareers-digital[.]com
    redbullcareers-team[.]com
    digitalredbull-social[.]com
    cocacolacompany-application-dev-ed.develop.my.salesforce-sites[.]com
    cocacolateam-application-id23151232.netlify[.]app
    jobs-coca-cola[.]com
    victoriasecretdigital[.]com/application-work/id-23452345
    applicationworksocialmedia[.]com
    application-career[.]com

    Enregistreurs Telegram :

    bot8072644097:AAH2AOm9SAvgBLsPjOG6THu51ULEcS-ImAg
    bot8042878074:AAHHoa9x7R5w1RiWVXxxRW49YkP-NYHuoWw
    bot7610902362:AAEeD7oxYZcbiI6UuCf3Y4s42pxYWVJRoaU


    Recommandations

    • Assurez-vous que la politique URL Protect est définie pour protéger l’organisation.
    • Effectuez une recherche dans vos journaux URL Protect pour déterminer si vos utilisateurs ont accédé à l'un des services faisant l'objet d'abus. 
    • Effectuez une recherche dans vos journaux de réception d'e-mails pour déterminer si des e-mails correspondant aux sujets ont été livrés à vos utilisateurs.
    • Informez les utilisateurs finaux de la tendance continue à l’utilisation d’outils légitimes dans des campagnes malveillantes.
    Haut de la page