یک شبکه گسترده ربات از پورن جعلی برای فریب دادن فیس بوک استفاده کرد

در نوامبر 2021، تورد لاندستروم، مدیر فنی غیرانتفاعی پزشکی قانونی دیجیتال سوئد کوریوم مدیا، متوجه چیز عجیبی شد. . یک حمله گسترده انکار سرویس (DDoS) Bulatlat، یک رسانه جایگزین فیلیپین که توسط این سازمان غیرانتفاعی میزبانی می‌شد، هدف قرار داد. و از طرف کاربران فیس بوک می آمد.

لوندستروم و تیمش پیدا شد که حمله فقط شروع آن بود. Bulatlat هدف یک مزرعه پیشرفته ترول ویتنامی شده بود که اعتبار هزاران حساب فیس بوک را به تصرف خود درآورده بود و آنها را به ربات های مخرب تبدیل کرده بود تا اعتبار حساب های بیشتری را هدف قرار دهد تا تعداد آن افزایش یابد.

حجم این حمله حتی برای Bulatlat که مدتهاست هدف سانسور و حملات سایبری بزرگ. تیم کوریوم روزانه 60000 آدرس IP را از دسترسی به وب سایت Bulatlat مسدود می کرد. لوندستروم می‌گوید: «ما نمی‌دانستیم از کجا می‌آید، چرا مردم به این بخش‌های خاص وب‌سایت Bulatlat می‌روند.

وقتی آنها حمله را ردیابی کردند، همه چیز عجیب‌تر شد. هنوز. لاندستروم و تیمش دریافتند که درخواست‌ها برای صفحات در وب‌سایت Bulatlat در واقع از پیوندهای فیس‌بوک می‌آمدند که شبیه پیوندهایی به پورنوگرافی هستند. این پیوندهای کلاهبرداری، اعتبار کاربران فیس بوک را ضبط کرده و ترافیک را به Bulatlat هدایت می کند و اساساً یک حمله فیشینگ و یک حمله DDoS را همزمان اجرا می کند. از آنجا، حساب‌های در معرض خطر خودکار شدند تا شبکه‌های خود را با تعداد بیشتری از پیوندهای پورنو جعلی ارسال کنند، که به نوبه خود کاربران بیشتری را به سمت وب‌سایت Bulatlat سوق داد.

گرچه شرکت مادر فیس‌بوک. متا سیستم‌هایی برای شناسایی کلاهبرداری‌های فیشینگ و لینک‌های مشکل‌ساز دارد، کوریوم دریافت که مهاجمان از یک «دامنه پرش» استفاده می‌کنند. این بدان معناست که اگر سیستم تشخیص متا دامنه را آزمایش کند، به یک وب‌سایت قانونی پیوند می‌خورد، اما اگر کاربر معمولی روی پیوند کلیک کند، به سایت فیشینگ هدایت می‌شود.

بعد از ماه‌ها تحقیق، کوریوم توانست یک شرکت ویتنامی به نام مک کوان را شناسایی کند که برخی از نام‌های دامنه را برای سایت‌های فیشینگ ثبت کرده بود. کوریوم تخمین می زند که این گروه ویتنامی اعتبار بیش از 500000 کاربر فیس بوک از بیش از 30 کشور را با استفاده از حدود 100 نام دامنه مختلف به دست آورده است. تصور می‌شود که بیش از 1 میلیون حساب توسط شبکه ربات هدف قرار گرفته است.

برای دور زدن بیشتر سیستم‌های شناسایی متا، مهاجمان از “پراکسی‌های مسکونی” استفاده کردند و ترافیک را از طریق یک واسطه مستقر در همان کشوری که حساب کاربری دزدیده شده فیس بوک – معمولاً یک تلفن همراه محلی – به نظر می رسد که گویی ورود از یک آدرس IP محلی است. لوندستروم می‌گوید: «هرکس از هر کجای دنیا می‌تواند به این حساب‌ها دسترسی داشته باشد و از آنها برای هر کاری که می‌خواهد استفاده کند.

یک صفحه فیس‌بوک برای «Mac Quan IT» بیان می‌کند که مالک آن است. یک مهندس در شرکت دامنه Namecheap.com و شامل پستی از 30 می 2021 است که در آن لایک ها و دنبال کنندگان را برای فروش تبلیغ می کند: 10000 ین (70 دلار) برای 350 لایک و 20000 ین برای 1000 دنبال کننده. WIRED برای نظر دادن با ایمیل ضمیمه شده به صفحه فیس بوک تماس گرفت اما پاسخی دریافت نکرد. Qurium همچنین نام دامنه را به ایمیلی که برای شخصی به نام Mien Trung Vinh ثبت شده بود، ردیابی کرد.