Um banco de dados mal configurado da Elasticsearch, que foi utilizado por cibercriminosos, expôs os dados de login de mais de 100 mil usuários do Facebook, trazendo à tona uma campanha mundial de golpes direcionados a usuários de redes sociais com o objetivo de roubar credenciais de acesso.

A campanha maliciosa estava direcionada a usuários do Facebook com o objetivo de obter os dados de acesso das vítimas através de uma ferramenta que supostamente prometia revelar quem visitou o perfil do usuário.

Com as credenciais de acesso “em mãos” e armazenadas no banco de dados, os cibercriminosos publicavam comentários tipo spam em postagens através da conta do Facebook das vítimas, com o objetivo de atrair outros usuários para diversos sites maliciosos controlados pelos atacantes, explicaram os pesquisadores da vpnMentor na última sexta-feira (13). A maioria desses sites maliciosos, para os quais as vítimas foram direcionadas, levavam a uma plataforma de trading para bitcoin falsa, na qual eles pretendiam que as vítimas depositassem pelo menos 250 euros.

O banco de dados mal configurado, que permitiu a descoberta dessa campanha maliciosa, foi encontrado no dia 21 de setembro deste ano e fechado no dia seguinte. O banco de dados continha mais de 13 milhões de registros de mais de 100 mil usuários do Facebook.

Entre os dados armazenados no banco de dados da Elasticsearch, os pesquisadores encontraram:

  • Nomes de usuário e senhas de contas do Facebook e de seus endereços IP;
  • Informações de identificação pessoal (PII) das vítimas, como endereços de e-mail, nomes ou números de telefone;
  • Textos usados ​​por golpistas para postar comentários em contas comprometidas com o intuito de direcionar as vítimas a sites maliciosos.

Embora não seja possível saber exatamente como as vítimas chegavam a esses sites falsos que prometiam revelar visitas de perfil dos usuários no Facebook, os pesquisadores encontraram 29 domínios que faziam parte de uma rede de sites utilizada com esse objetivo. Esses sites incluíam, por exemplo, mensagens como “Seu perfil recebeu 32 visitas nos últimos dois dias. Continue para ver a lista." Nesse caso, se a vítima clicasse em um botão que dizia "abrir a lista", ela seria direcionada a uma página de login falsa do Facebook e, posteriormente, orientada a inserir seus dados de acesso à plataforma.

Depois de inseridas, as credenciais eram armazenadas no banco de dados controlado pelos atacantes. Em seguida, eles davam início a segunda fase da campanha maliciosa: a publicação de comentários através das contas das vítimas com links para sites que faziam parte de um esquema de fraudes controlado pelos cibercriminosos.

Esses sites direcionavam as vítimas para vários tipos de páginas suspeitas e algumas legítimas. O mix de sites foi uma estratégia para contornar os mecanismos de detecção e evitar o bloqueio, mas segundo os pesquisadores, o principal objetivo era direcionar as vítimas para sites nos quais os usuários fossem convidados a realizar um cadastro gratuito em uma conta de trading de bitcoin e a depositar 250 euros para iniciar as negociações. Após realizar o depósito, o dinheiro acabava sendo enviado para os cibercriminosos.

Se você acredita que foi vítima desse golpe ou de outro semelhante, o ideal é alterar imediatamente sua senha de acesso à rede social. Por outro lado, também é necessário alterar a senha em todos os serviços nos quais a mesma chave foi usada. Inclusive, é fundamental lembrar que não é uma boa prática de segurança usar a mesma senha em mais de um serviço. Para evitar dores de cabeça tendo que lembrar cada uma das senhas usadas em cada conta ou serviço, sugerimos o uso de um gerenciador de senhas. E não se esqueça: nunca insira informações pessoais em sites suspeitos.