דו"ח הסייבר השבועי של חברת Experis חשף תופעה מסוכנת במסגרתה האקרים מפרסמים בפייסבוק אפליקציות AI מזויפות לעריכת תמונות, גונבים את המידע האישי של מי שמתקין אותן, ומשתמשים בחשבונות הפרסום שלהם כדי להפיץ את הוירוס למשתמשים נוספים.
הקורבנות: מנהלי דפי פייסבוק עם חשבונות פרסום
קמפיין הפרסום הזדוני שחושפת אקספריס מתחיל עם הודעות פישינג שנשלחות לבעלי או מנהלי דפי פייסבוק, לכאורה מטעם חברת מטא, המפנות אותם לדפי שחזור סיסמה מזויפים המיועדים לגנוב את פרטי ההתחברות שלהם. לאחר גניבת הפרטים, התוקפים משתלטים על חשבונות הפרסום הממומן של הקורבנות, מפרסמים פוסטים זדוניים ומקדמים אותם באמצעות פרסום בתשלום, על חשבון הקורבנות כמובן. בכך, הם גורמים למפרסמים להפסדים כבדים ונזק תדמיתי בלתי הפיך, תוך ניצול שמם הטוב של הקורבנות, אבל הם ממש לא עוצרים כאן.
הפיתיון: כלי עריכת תמונות מבוססי AI
אם היה מדובר במותגים שרוכבים על חשבונות של אחרים בשביל פרסום ממומן בחינם, היינו אומרים מילא. אבל הקמפיין הזדוני הזה, שמתחזה לכלי AI פופולרי לעריכת תמונות, גונב את המידע הרגיש של כל מי שמקליק עליו על ידי התקנת אפליקציות מזויפות. התוקפים מנצלים את ההייפ הבלתי פוסק סביב פתרונות AI חדשים ליצירת תמונות, ומקימים אתרים זדוניים המדמים שירותים לגיטימיים ומפתים קורבנות להתקין תוכנה זדונית לגניבת מידע (Info-stealer).
האמצעי: חשבון הפרסום שלכם
לדוגמא, בחודש אפריל, קמפיין פרסום בפייסבוק קידם דף זדוני שהתחזה ל-Midjourney ופגע בכמעט 1.2 מיליון משתמשים עם תוסף הדפדפן הזדוני Rilide Stealer ל-Chrome. שימו לב שאותה תוכנה מזויפת קודמה באמצעות פרסום ממומן של פייסבוק ולכן עלולה להגיע לכל משתמש. מסתבר כי בכל הנוגע לפרסום ממומן, פייסבוק לא מבצעת תהליך ולידציה מלא של המידע שאנשים מפרסמים דרכם - לכן אין להתייחס אל הפרסומים הממומנים כלגיטימיים בשום צורה!
המטרה: נוזקה ורוגלה בתפוצה רחבה
משתמשי פייסבוק שלוחצים על ה-URL המפורסם במודעה הזדונית מופנים לדף מזויף המתחזה לאתר לגיטימי של תוכנה לעריכת תמונות מבוססת AI, ומופנים להורדה והתקנת חבילה. במקום תוכנת עריכת תמונות AI, הקורבנות מתקינים למעשה את הכלי ITarian - לחיבור מרוחק, המוגדר להפעיל dropper שמתקין באופן אוטומטי את הנוזקה Lumma Stealer.
הנוזקה חודרת למערכת בשקט, מאפשרת לתוקפים לאסוף ולשדר מידע רגיש כמו פרטי התחברות, קבצי ארנקי קריפטו, נתוני דפדפן ומאגרי נתונים של מנהלי סיסמאות. מידע זה נמכר לאחר מכן לפושעי סייבר אחרים או משמש את התוקפים לפריצה לחשבונות מקוונים של הקורבנות, גניבת כספם וקידום הונאות נוספות באמצעות פרסום ממומן.
אז איך נזהה את המתקפה ולא ניפול בפח?
ראשית, אם קיבלתם הודעת מסנג'ר לדף הפייסבוק שבניהולכם המתריעה על הצורך בשחזור החשבון, פשוט תתעלמו. חברת מטא האמיתית היתה שולחת הודעה כזו במייל, עם שם, טייטל ותמונת פרופיל של השולח, ולא היתה מציבה אולטימטום של 24 שעות כמו שאנחנו רואים בצילום המסך הבא:
אם בכל זאת לחצתם על הלינק והגעתם לדף הבא, תוכלו לראות שה-URL, כלומר כתובת האתר של הדף שהגעתם אליו, אינו יושב תחת הדומיין של meta.com ולפיכך, הוא בודאות לא שייך לה. גם הצבע הכחול בו בחרו התוקפים להשתמש הוא אינו הגוון המדוייק בו משתמשת מטא בכל נכסי המותג שלה.
ואיך נדע אם אפליקציה "כשרה" או זדונית?
כדי לזהות אפליקציה חשודה, כדאי לבדוק את הדירוגים והביקורות שלה בחנויות האפליקציות הרשמיות. יש לוודא שהאתר ממנו מורידים את האפליקציה הוא האתר הרשמי של המפתח. כמו כן, יש להימנע מהורדת אפליקציות ממודעות או קישורים חיצוניים לא מאומתים, ולוודא שהאפליקציה אינה מבקשת הרשאות לא סבירות או גישה למידע רגיש.
בנוסף, כלי השקיפות של Meta Ads יאפשרו לכם לחקור ולברר מידע נוסף אודות מפרסמים בפלטפורמה, האם הם מאומתים, האם ומתי הם הפרו את כללי השימוש וכיצד הם שינו את תוכן המודעות שלהם כדי לעמוד בכללים. מידע זה עשוי לחשוף רבות על אופי הפרסום ואמינותו.
איך לדעת אם נפלתי קורבן למתקפה ומה אפשר לעשות?
אם התקנתם אפליקציה ואתם חושדים שהיא עלולה להיות זדונית, יש לבדוק אם קיימות פעולות לא מורשות בחשבון הפייסבוק שלכם, כמו פוסטים לא מוכרים או פרסומים ממומנים שלא אתם יצרתם. במקרה של חשד, יש לשנות מיד את סיסמאות החשבונות, להסיר את האפליקציה המותקנת, ולעדכן את הארגון על כך. אם טרם עשיתם זאת, הפעילו את האימות הדו שלבי. בנוסף, מומלץ להריץ סריקה מקיפה עם תוכנת אנטי-וירוס עדכנית.
מעסיקים - הדריכו את העובדים על הסכנות של התקפות פישינג ולמדו אותם כיצד לזהות הודעות וקישורים חשודים. משתמשים צריכים תמיד לאמת את הלגיטימיות של קישורים, במיוחד אלו שמבקשים מידע אישי, אישורי התחברות והתקנת תוכנות על המחשב. כמו כן, מומלץ להטמיע אמצעי הגנה בכלל מנגנוני האבטחה של הארגון.