PROBLEMA “Sei tu in questa foto” su Messenger

Leggend_1 · 26 Maggio 2022

Stamattina una mia amica si è svegliata e vede che a tutti i propri contatti di messenger è stato inviato un messaggio con su scritto “sei tu in questa foto ???” E un link di dubbia affidabilità. Mi chiedo come questo possa essere avvenuto, presumibilmente tramite un tentativo di phishing andato bene in cui hanno rubato la password (e non un virus a cui tutte le persone attribuiscono ogni colpa e problema). La mia amica dice di non aver aperto link malevoli. Vi è successo? Dalla gestione account non risultano dispositivi di dubbia provenienza

GraveKeeper · 26 Maggio 2022

A me non è successo ma ho sentito di scambot simili, una volta cliccato il link che prende le credenziali, e fatto l'accesso, viene mandato voe possibile un altro link a tutti contatti per diffondersi anche su altri account.

Digli di cambiare password (così cambia il token) e di sloggare tutti i dispositivi dall'account, inoltre di avvertire anche i contatti di fare lo stesso in caso qualcuno avesse cliccato a sua volta il link.

Leggend_1 · 26 Maggio 2022

GraveKeeper ha detto:
A me non è successo ma ho sentito di scambot simili, una volta cliccato il link che prende le credenziali, e fatto l'accesso, viene mandato voe possibile un altro link a tutti contatti per diffondersi anche su altri account.

Digli di cambiare password (così cambia il token) e di sloggare tutti i dispositivi dall'account, inoltre di avvertire anche i contatti di fare lo stesso in caso qualcuno avesse cliccato a sua volta il link.

non credo che un link possa prendere a tua insaputa le credenziali, glie le devi fornire tu. il truffatore deve aver ingegnato bene il tutto creando false schermate identiche di facebook. (per vedere il video devi eseguire il login).

questo sistema deve anche avere un'altro scopo oltre al solo diffondersi innocuamente. c'è qualcosa sotto.

GraveKeeper ha detto:
Digli di cambiare password (così cambia il token) e di sloggare tutti i dispositivi dall'account, inoltre di avvertire anche i contatti di fare lo stesso in caso qualcuno avesse cliccato a sua volta il link.

fatto

GraveKeeper · 26 Maggio 2022

Leggend_1 ha detto:
non credo che un link possa prendere a tua insaputa le credenziali, glie le devi fornire tu. il truffatore deve aver ingegnato bene il tutto creando false schermate identiche di facebook. (per vedere il video devi eseguire il login).

questo sistema deve anche avere un'altro scopo oltre al solo diffondersi innocuamente. c'è qualcosa sotto.

fatto

Sì, era sottinteso, ci sono metodi in realtà per ottenere il token del login, però personalmente non esperto e penso sia più probabile che abbia inserito i dati in una schermata similare.

Italicus Magnus · 27 Maggio 2022

Digli di installarsi un antivirus per Android, uno tra Bitdefender e Kaspersky.

Leggend_1 · 28 Maggio 2022

Ha ios
--- i due messaggi sono stati uniti ---
Non credo che sia un virus ma un tentativo di phishing

Italicus Magnus · 28 Maggio 2022

Ci sta la versione iPhone lo stesso.

Gli antivirus proteggono anche contro il phishing.

GraveKeeper · 28 Maggio 2022

Sì, ma prendere virus su iOS è quasi utopia. Ci sono ok, ma te li devi andare a cercare (oppure devi essere una cosiddetta person of interest), non basta la normale navigazione (ma consiglio comunque di installare un bel profilo adblock, per esempio quello di adware o di altri).

Non che su android sia così facile prendere virus, ma è sicuramente più facile rispetto ad iOS.

Semplicemente gli hanno violato l'account imo

Italicus Magnus · 28 Maggio 2022

Questo sul presupposto che la tipa non clicchi mai su link malevoli. Io amo pensare che la gente sia idiota. E primo poi ci clicchera' sopra.

Maniac145 · 28 Maggio 2022

GraveKeeper ha detto:
Sì, ma prendere virus su iOS è quasi utopia. Ci sono ok, ma te li devi andare a cercare (oppure devi essere una cosiddetta person of interest), non basta la normale navigazione (ma consiglio comunque di installare un bel profilo adblock, per esempio quello di adware o di altri).

Non che su android sia così facile prendere virus, ma è sicuramente più facile rispetto ad iOS.

Semplicemente gli hanno violato l'account imo

Bitdefender per mobile in realtà protegge anche dalle attività di phishing: email, link e messaggi sospetti i ed altre impostazioni di sicurezza varie, su mobile i virus sono rarissimi

GraveKeeper · 28 Maggio 2022

Maniac145 ha detto:
Bitdefender per mobile in realtà controlla anche dalle attività di phishing: email, link e messaggi sospetti i ed altre impostazioni di sicurezza varie su mobile i virus sono rarissimi

Eh infatti, ho visto pure kaspersky, non sono proprio antivirus, controllano attività sospette negli account ecc; personalmente ne posso fare a meno

Italicus Magnus ha detto:
Questo sul presupposto che la tipa non clicchi mai su link malevoli. Io amo pensare che la gente sia idiota. E primo poi ci clicchera' sopra.

Vero, ma immagino dipenda: e se mette un adblock la maggior parte svaniscono (sebben gli adblock su iOS non sono super efficienti).

Se serve posso girarli qui un paio di profili di configurazione di adblock per iOS.

0xbro · 28 Maggio 2022

Leggend_1 ha detto:
Stamattina una mia amica si è svegliata e vede che a tutti i propri contatti di messenger è stato inviato un messaggio con su scritto “sei tu in questa foto ???” E un link di dubbia affidabilità. Mi chiedo come questo possa essere avvenuto, presumibilmente tramite un tentativo di phishing andato bene in cui hanno rubato la password (e non un virus a cui tutte le persone attribuiscono ogni colpa e problema). La mia amica dice di non aver aperto link malevoli. Vi è successo? Dalla gestione account non risultano dispositivi di dubbia provenienza

Ciao! Era capitato un po' di tempo fa anche a mia madre ahah dando un'occhiata al server che hostava il sito di phishing ho scoperto che gli attaccanti avevano rubato più di 1500 credenziali solo in italia, molte delle quali erano ancora valide (avevano mal configurato il server ed esponevano il backup delle credenziali rubate). Ovviamente si tratta di una classica truffa di phishing, il modo in cui inviavano il messaggio agli altri contatti credo fosse loggando direttamente con le credenziali rubate e, in caso di 2FA, utilizzavano le stesse credenziali per accedere alla casella di posta elettronica con cui confermavano il login.

Metto qua di seguito il link a any.run, la sandbox che ho usato per guardare la pagina di phishing:

Analysis https://2yc3.short.gy/nKyNPJ Malicious activity - Interactive analysis ANY.RUN

Interactive malware hunting service. Live testing of most type of threats in any environments. No installation and no waiting necessary.

app.any.run

PROBLEMA “Sei tu in questa foto” su Messenger

Leggend_1

Utente Attivo

GraveKeeper

Leggend_1

Utente Attivo

GraveKeeper

Italicus Magnus

Pater Patriae

Leggend_1

Utente Attivo

Italicus Magnus

Pater Patriae

GraveKeeper

Italicus Magnus

Pater Patriae

Maniac145

GraveKeeper

0xbro

Nuovo Utente

Analysis https://2yc3.short.gy/nKyNPJ Malicious activity - Interactive analysis ANY.RUN