Kuidas Hiina häkkerid Facebooki kasutajatelt ligi 3,5 miljonit eurot pihta panid

 (6)
Kuidas Hiina häkkerid Facebooki kasutajatelt ligi 3,5 miljonit eurot pihta panid
Illustratiivse tähendusega pilt (Pixabay / Gerd Altmann)

Facebookil on nii palju kasutajaid, et otse loomulikult tõmbab see ligi ka palju küberkurjategijaid.

Facebooki töötajad paljastasid hiljutisel küberturva-konverentsil Virus Bulletin 2020, kuidas toimis SilentFade, seni üks ulatuslikemaid veebipettusi, mis nende keskkonnas avastatud.

Hiina päritolu häkkerid varastasid FB kasutajatelt selle käigus kõigest mõne kuuga (2018. a lõpust kuni 2019. a veebruarini) umbes neli miljonit USA dollarit ehk 3,41 mln eurot, kirjutab ZDNet.

Skeem oli järgmine: nakatada Facebooki kasutaja Windowsi arvuti nn troojalasega (teatud tüüpi pahavara), varastada selle abil brauseri poolt talletatud paroolid ja küpsised, tungida Facebooki-kontole ja kui see on seotud mingi maksemeetodiga, siis osta kasutaja raha eest FB keskkonnas reklaame. Viimased aitasid uusi ohvreid leida.

Forte kirjeldas hiljuti üht sarnast juhtumit pikemalt

Kui pettus avalikuks sai, maksis Facebook selle selle ohvritele raha tagasi ja lasi kurjategijte tausta lähemalt uurida. Jäljed viisid 2016. a loodud Hongkongi tarkvarafirma (ILikeAd Media International Company) ja selle taga seisva kahe arendajani, keda Facebook möödunud detsembris ka kohtusse kaebas.

Seotud lood:

Selgus, et kurjamite tegevusest leidus jälgi juba 2016. aastal, kui nad said valmis peamiselt hiinlaste kimbutamiseks loodud pahavara SuperCPA. See levis kasutajate allalaaditud häälestusfailide teel (püsifailid töökeskkonna parameetrite seadmiseks).

Peagi jätsid kurjamid selle tegevuse pooleli, sest valmis sai SilentFade'is kasutatud pahavara esimene variant, millega brausereid nakatada ja Facebooki ja Twitteri kontodelt mandaate (ingl credentials) ehk identiteeditõendamise vahendeid varastada. Pahavara hilisem variant peideti veebireklaamide sisse.

Kui troojalane sai järjekordsele arvutile ligipääsu, asendas see brauseri paigalduskaustas DLL-faile samasuguste, aga pahavara täiendatud laaditud DLL-failidega, mis lasi brauserit eemalt kontrollida ning sealt andmeid varastada. Muuhulgas nn seansiküpsiseid (ingl session cookie), mille abil sai FB-sse pääseda ilma oma isikut tavapärasel viisil kinnitamata.

Pahavara kasutas kavalaid skripte, et Facebooki eri turvameetmetest mööda pääseda ning avastas Facebookis isegi tarkvaravea, mis ei lasknud turvameetmeid uuesti sisse lülitada ega ka kasutajale teavitusi saata, et tema kontol paistab toimuvat kahtlasi asju.