L'azienda di sicurezza TrustWave ha scoperto una nuova campagna di phishing che sfrutta i chatbot di Facebook Messenger per rubare le credenziali di accesso alle Pagine Facebook.
In questo caso specifico, il chatbot si finge quello del team di assistenza di Facebook: la vittima riceve una mail secondo cui avrebbe violato gli standard della community del social network di Meta, invitando l'utente a opporsi alla decisione entro 48 ore, pena l'eliminazione della Pagina. Poiché questo attacco imita alla perfezione il modo in cui Facebook gestisce le violazioni, inclusa la possibilità di fare ricorso contro i provvedimenti presi, gli utenti possono essere tratti in inganno con una certa facilità.
Cliccando sul pulsante incluso nella mail, l'utente viene indirizzato al chatbot che imita un agente del servizio clienti di Facebook: qui viene visualizzato un pulsante che porta alla procedura di reclamo, il cui URL, però, non appartiene al dominio Facebook: qui l'utente è invitato a compilare i vari campi, indicando i propri dati personali (nome, cognome, nome della Pagina, numero di telefono), ma al momento della conferma, viene chiesto di reimmettere la password per motivi di sicurezza, con tanto di autenticazione a due fattori tramite OTP ricevuto via SMS al numero indicato. Una volta completata la procedura, la vittima viene riportata a una pagina di Facebook effettiva, contenente informazioni pertinenti alla violazione dell'utente.
L'attacco è del tutto automatizzato, quindi è possibile che i dati rubati vengano sfruttati in un momento successivo, andando a convincere ancora di più la vittima di aver effettivamente interagito con Facebook.
Si tratta di un attacco insidioso, che potrebbe colpire anche utenti mediamente esperti, soprattutto se non si presta attenzione ad alcuni dettagli: nel caso specifico, non vi sarebbe sempre corrispondenza tra il numero del caso indicato nell'e-mail e quello presente nella pagina fasulla, inoltre, ispezionando con attenzione gli URL, si può capire senza troppi dubbi che la pagina non appartiene a Facebook. Questo è particolarmente importante se la pagina richiede l'inserimento di credenziali: se l'URL risulta anomalo o non riconducibili ai domini dei prodotti e servizi Meta, è opportuno interrompere immediatamente l'interazione con la pagina.