Embedded Files
Facebook
Facebook
"Context"
Acest mesaj a fost primit de către un amic pe Facebook Messenger. Mesajul a fost trimis de către cineva din lista lui de prieteni.
La prima vedere dacă citim textul am fi tentați să credem că acest mesaj este de încredere, mai ales dacă vine de la o persoană cunoscută.
Mai jos am sa detaliez o analiză simplă și una puțin mai complexă pentru a vedea dacă mesajul este real sau este o tentativă frauduloasă.
Analiza simplă
Analiza simplă
🔍 1. Adresa URL suspectă
🔍 1. Adresa URL suspectă
„tempisite[.]com” nu este un domeniu oficial al Facebook-ului.
Facebook folosește facebook.com sau fb.com, nu domenii ciudate.
📌 Cum să verifici?
Caută pe Google „Facebook oficial URL” și compară cu linkul din mesaj.
🚩 2. Urgența și amenințarea falsă
🚩 2. Urgența și amenințarea falsă
Mesajele oficiale Facebook nu spun „Dacă nu confirmi în 12 ore, contul va fi șters”.
Atacatorii creează panică pentru a forța victima să reacționeze rapid.
📌 Ce să faci?
Nu intra în panică! Verifică notificările direct din aplicația Facebook.
📝 3. Greșeli gramaticale și exprimare ciudată
📝 3. Greșeli gramaticale și exprimare ciudată
„Echipa noastră a primit rapoarte de la utilizatori conform cărora contul dvs. a falsificat informații…” – exprimare confuză.
Mesajele oficiale sunt scrise corect gramatical și clar.
📌 Cum să verifici?
Citește cu atenție textul și vezi dacă pare tradus automat.
🔒 4. Cerința de „confirmare” printr-un link extern
🔒 4. Cerința de „confirmare” printr-un link extern
Facebook nu cere niciodată să îți confirmi contul printr-un site necunoscut.
Confirmările se fac doar în Setări > Securitate și autentificare din aplicație.
📌 Ce să faci?
Nu accesa linkul din mesaj. Intră pe Facebook și verifică notificările acolo.
✅ Concluzie: Este phishing!
✅ Concluzie: Este phishing!
Dacă primești un astfel de mesaj:
Nu accesa linkul.
Nu introduce date personale.
Întreabă pe cineva de încredere dacă acest mesaj este real.
Analiza complexă
Analiza complexă
Am analizat domeniul și site-ul folosind mai multe tool-uri online gratuite precum: Virus Total, Browserling, Where it goes, BuilItWith și bineînțeles Google Dev Tools
Mai jos găsiți imagini legate de investigație.
!!! ATENTIE !!! dacă vreți să replicați pașii sau să analizați pe cont propriu, folosiți o mașină virtuală/ modul incognito/NU INTRODUCETI DATE REALE
Acest cod HTML pare să fie o pagină web construită folosind framework-ul Next.js și include o serie de referințe la resurse externe, cum ar fi fonturi, stiluri și scripturi JavaScript.
🔹 Ce face pagina?
Pare să fie o pagină de phishing care imită o pagină de autentificare pentru un serviciu online. (Vezi imaginea 1)
Include un formular care solicită un "E-mail sau număr de telefon" și o "Parolă". (Vezi imaginea 1)
După trimiterea datelor, utilizatorul este redirecționat către un alt URL (helpalsupportmetafacebook.tempisite[.]com/cbxcbzcbhzdah). (Vezi imaginea 5)
Conține un mesaj "Ai uitat parola?" și un buton pentru "Creare cont nou", ceea ce sugerează că încearcă să imite o platformă cunoscută. (Facebook).
🔹 Indicii că este un site de phishing:
Domeniul suspect - Folosește un subdomeniu pe un site temporar (tempisite[.]com), ceea ce este o tehnică comună pentru site-uri frauduloase.(Vezi imaginea 2)
Cod ascuns și referințe la tracking - Pagina încarcă mai multe scripturi externe pentru urmărire și conține un "PRIVATE KEY" în cod, ceea ce nu este normal pentru un site legitim.(Vezi imaginea 4 si 5)
Imită un formular de autentificare - Dar nu există nicio legătură oficială cu o platformă legitimă, nu redirecționează la Facebook. (Vezi imaginea 2)
IP suspect - IP ul cu care comunica este din Vietnam. (Vezi imaginea 3)
Request-uri identificate (Vezi imaginea 4 si 5)
Am găsit un request către https://footprint-ingestor.tekoapis.com/v1/batch-send, care pare să colecteze date despre utilizatori (ex. evenimente de scroll, sesiuni).
Un al doilea request către https://public.tempi.vn/v1/submit-form apare în rețea, dar dispare rapid după trimitere.
Payload-ul trimis (Vezi imaginea 4 si 5)
Am decodat stringul bach-send Base64 care conținea identificatori de sesiune, tracking ID și un URL suspect.
Request-ul submit-form nu mai apare în DevTools după ce este trimis, sugerând exfiltrare de date, cel mai probabil aici se afla conținutul introdus in form dar nu am reușit sa deschid payloadul pentru a confirma.
🔹 Ce să faci?
Dacă ai primit acest mesaj sau link de la cineva, sa nu introduci date personale. Acest site si mesaj precum si altele asemănătoare se pot raporta la DNSC
✅ Concluzie: Este phishing!
✅ Concluzie: Este phishing!
Page updated
Google Sites
Report abuse