A PIXM New York-i mesterséges intelligencia központú kiberbiztonsági cég kutatói fedezték fel azt a nagyszabású Facebookon terjedő adathalász kampányt, amely áldozatok millióitól gyűjtött fiókhitelesítő adatokat. A PIXM szerint a kampány már 2021 szeptembere óta aktív, a csúcsot azonban 2022. április-májusra érte el.
A vizsgálatok szerint a felhasználókat a Messengerben kapott linkeken keresztül irányították át az adathalász weboldalakra. A támadók az ellopott hitelesítő adatokat felhasználva, bejelentkeznek az áldozatok fiókjaiba, és – különböző automatizált eszközökkel – további adathalász linket küldenek a felhasználók ismerőseinek. Az adatok megadását követően az áldozatokat további hirdetési és űrlapkitöltő oldalakra irányítják át, amiből jelentős (a becslések szerint több millió dolláros) bevételre tesznek szert a támadók.
Bár a Facebook képes az adathalász URL-ek terjesztésének megállítására, a mostani kampány során a támadók némi trükköt alkalmazva legitim URL-generáló szolgáltatásokat használnak (mint például a litch[.]me, famous[.]co, amaze[.]co és a funnel-preview[.]com), amelyeket más hivatalos alkalmazások is igénybe vesznek, ezért problémás lenne a letiltásuk. A kutatók elérték a kampány statisztikai adatait tartalmazó portált is, amely során megállapítást nyert, hogy míg 2021-ben 2,7 millió látogatója volt az adathalász weboldalalaknak, addig 2022-ben ez a szám több mint 8.5 millióra emelkedett. A vizsgálat során összesen 405 egyedi felhasználónevet azonosítottak, amelyeket az elkövetők a kampány során felhasználtak, bár a kutatók ennél jóval több fiók felhasználását feltételezik. A PIXM felfedezett egy közös kódrészletet az adathalász oldalakon, ami egy lefoglalt domainhez és egy kolumbiai férfihez vezetett, a nyomozás még jelenleg is tart.