A ESET, empresa líder em detecção proativa de ameaças, alertou que um banco de dados Elasticsearch configurado incorretamente foi operado por cibercriminosos e expôs os nomes de usuário e senhas de mais de 150 mil usuários do Facebook em todo o mundo. A campanha maliciosa estava direcionada aos frequentadores da rede social com o objetivo de obter os dados de acesso das vítimas através de uma ferramenta que, supostamente, prometia revelar quem visitou o perfil do usuário.
CONTEÚDO RELACIONADO – Adolescente de 14 anos ganha R$ 140 mil do Facebook após descobrir falha de segurança no Instagram
Embora não se saiba exatamente como as vítimas chegam a esses sites falsos que prometem revelar quem visitou seu perfil, foram encontrados 29 domínios que fazem parte de uma rede de sites usada para esse fim. Esses endereços incluíam, por exemplo, mensagens como “Seu perfil recebeu 32 visitas nos últimos dois dias. Continue para ver a lista”. Se a vítima clicasse em um botão que diz “abrir a lista”, ela seria direcionada para uma página de login falsa do Facebook, onde seria solicitada a inserir suas credenciais de acesso à plataforma.
Depois de inseridas, as credenciais são armazenadas no banco de dados controlado pelos atacantes e, em seguida, começam com a outra fase da campanha maliciosa: os comentários nas contas das vítimas que contêm links para sites que fazem parte de um esquema fraudulento operado por cibercriminosos.
Esses sites direcionaram as vítimas para vários tipos de páginas de má reputação. O mix de endereços foi uma estratégia para contornar os mecanismos de detecção e evitar o bloqueio, mas segundo os pesquisadores, o principal objetivo era direcionar as vítimas para sites onde os usuários fossem convidados a se cadastrar gratuitamente na negociação de Bitcoins com depósito de 250 euros para começar. Se o depósito fosse feito, o dinheiro acabaria nas mãos dos cibercriminosos.
Entre os dados armazenados nesta instância do Elasticsearch, os pesquisadores encontraram:
- Nomes de usuário e senhas de 150 a 200 mil contas do Facebook, além de endereços IP.
- Informações de identificação pessoal (PII) das vítimas, como endereços de e-mail, nomes ou números de telefone.
- Textos usados por golpistas para postar comentários em contas comprometidas com o intuito de direcionar as vítimas a sites maliciosos.
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter.
