Dopo WhatsApp una delle app di messaggistica e chat più usate al mondo è, anche lei, del gruppo Meta: si tratta di Facebook Messenger, che conta circa 1 miliardo di utenti attivi al mese (la metà di WhatsApp e poco meno degli 1,2 miliardi di WeChat). Per questo motivo desta allarme l’ultima campagna di phishing scoperta dalla società di cybersicurezza americana Pixm: una falsa pagina di login a Facebook che è stata già visitata da milioni di utenti.
La cosa più grave, però, è che i ricercatori di sicurezza informatica hanno scoperto che il link a questa pagina viene diffuso direttamente da dentro Facebook, quindi molto probabilmente tramite Facebook Messenger. Lo scenario più credibile è che sia in corso una campagna di phishing basata su messaggi malevoli inviati via Messenger da profili Facebook hackerati. Sembra, inoltre, che tutto ciò sia gestito in modo estremamente automatizzato e questo giustificherebbe il grande risultato raggiunto in molto poco tempo dagli hacker: milioni di profili potrebbero già essere stati hackerati e forse molti di questi profili sono ancora in possesso degli utenti, ignari di tutto, perché ciò conviene agli hacker.
Messenger: il link pericoloso
I ricercatori hanno analizzato il flusso dei dati e hanno scoperto che i collegamenti alla pagina fake di login a Facebook venivano da Facebook stessa. Cioè ci sarebbe qualcuno che sta usando gli account compromessi di migliaia e migliaia di utenti per inviare, tramite Messenger, il link alla pagina per compromettere altri account.
Per nascondere il link pericoloso vengono usati servizi per accorciare le URL, come glitch.me, famous.co, amaze.co, funnel-preview.com. Tutti questi sono servizi assolutamente legittimi, quindi Facebook non può bloccarli in modo automatizzato, altrimenti bloccherebbe milioni di link assolutamente non pericolosi.
Quando invece il singolo link pericoloso viene scoperto, e quindi bloccato da Facebook, gli hacker ci mettono 5 minuti a creare un nuovo link che passa liscio senza problemi. Massimo risultato, quindi, con il minimo sforzo.
Milioni di profili a rischio
I servizi online che accorciano i link, usati dagli hacker per veicolare questa campagna finalizzata al furto dei profili Facebook, tengono traccia di ogni singolo utente che “atterra” sulla pagina di destinazione dopo aver cliccato su un link accorciato.
Sono dati preziosi, perché possono essere usati per stimare quanti utenti sono caduti nella trappola o, quanto meno, si sono trovati di fronte alla pagina fake. Il dato che emerge è molto preoccupante: la pagina in questione è stata visitata 8,5 milioni di volte da inizio 2022.