Nyt nähty huijaus herättää paljon kysymyksiä.
Facebookissa on paljastunut laaja huijauskampanja, jota on lähes mahdoton tunnistaa, kertoo tietoturvayhtiö Check Point.
Facebookiin luotiin väärennettyjä yrityssivuja, minkä jälkeen hyökkääjät käyttivät Meta Business Suiten yrityskäyttäjien kutsutoimintoa (Business invitation) lähettääkseen viestejä aidosta facebookmail.com-osoitteesta.
– Tämä teki viesteistä käyttäjille lähes mahdottomia tunnistaa haitallisiksi. Eräässä tapauksessa yli 40 000 kalasteluviestiä lähetettiin yli 5 000 asiakkaalle; jokaisessa oli haitallinen linkki naamioituna aidoksi Facebook-ilmoitukseksi, Check Point kertoo tiedotteessaan.
Tapaus on merkittävä useallakin tapaa: Siinä käytettiin luotettua palvelua, jolloin hyökkääjät eivät tarvitse vääriä verkkotunnuksia. Tulevat viestit vaikuttavat uskottavilta sekä sähköpostisuodattimien että ihmisten mielestä.
Kampanja oli myös poikkeuksellisen laaja, sillä vastaanottajia oli kymmeniätuhansia. Se kohdistui Eurooppaan, Yhdysvaltoihin, Kanadaan ja Australiaan.
Kohteena oli pääosin pieniä ja keskisuuria yrityksiä, jotka käyttävät Facebookia markkinointiin ja näkyvyyden hakemiseen.
Näin hyökkäys etenee
-
Hyökkääjä luo yrityssivun Facebookiin väärällä nimellä ja varastetuilla logoilla.
-
Hyökkääjät lähettävät kutsuja Facebookin yritystyökalujen kutsutoiminnolla. Sähköpostit tulevat Facebookin aidosta facebookmail.com-osoitteesta.
-
Sähköposteissa on petollinen linkki, joka johtaa käyttäjätunnuksia varastaville kalastelusivuille.
Luotettujen palveluiden väärinkäyttö on kasvava tietoturvauhka. Suomessa on nähty kuluneen vuoden aikana vähintään kaksi muutakin huijausta, jotka perustuvat olemassa olevien palveluiden väärinkäyttöön. Laajassa lastensuojeluhuijauksessa käytettiin aitoa ajanvarausjärjestelmää. Lisäksi murretuilta Booking.com-tileiltä on lähetetty huijausviestejä aitojen sähköpostiosoitteiden turvin.
Erilaiset huijaukset ja petokset ovat riivanneet Facebookia ja muita Metan palveluita pitkän aikaa, eikä niiden katoamista ole näköpiirissä.
Vaikka käyttäjät menettävät rahaa ja tietojaan, huijausten alustana toimiminen on Metalle myös kannattavaa liiketoimintaa. Reutersin mukaan 10 prosenttia Metan liikevaihdosta tulee mainoksista, jotka ovat joko huijauksia tai laittomien tai muuten kiellettyjen tuotteiden esillepanoa.
Huijausmainosten rahalliseksi arvoksi laskettiin 16 miljardia dollaria vuositasolla vuoden 2024 lopulla tehdyssä arviossa. Luvut perustuvat Metan omiin sisäisiin arvioihin.
Meta estää mainokset ainoastaan silloin, jos se arvioi niiden petosriskin olevan 95 prosenttia. Jos huijaus on todennäköinen, mutta sen todennäköisyys on alle 95 %, Meta ottaa mainoksesta tavallista isomman hinnan. Tarkoituksena on tehdä mainostaminen vähemmän houkuttelevaksi, mutta samalla yhtiö hyötyy.
Meta on myös sisäisesti arvioinut, että sen mahdollisesti saamat sakot ovat pienemmät kuin huijausmainoksista saadut tuotot.
Metan edustajan Andy Stonen mukaan Reutersin näkemät asiakirjat ”ovat vain osa todellisuudesta, ja antavat väärän kuvan Metan suhteutumisesta petoksiin”. Hänen mukaansa Meta tekee aktiivista petostorjuntaa.
Tietoturvatutkijat vahvistivat testeissään, että petollisen kutsun voi lähettää Facebookin aidosta sähköpostiosoitteesta ja mukaan voi liittää vaikka Facebookin logon. Verkko-osoite voi puolestaan viedä minne tahansa. Kuva: Check Point
Check Pointin mukaan nyt nähty Facebook-hyökkäys herättää kysymyksiä myös hyödynnettyjen alustojen omasta vastuusta ja siitä, tekevätkö teknologiayhtiöt riittävästi petostorjuntaa.
Tietoturvayhtiön mukaan yritysten tulisi käyttää nykyistä tehokkaampaa käyttäytymisanalyysia paljastaakseen huijarit, ottaa monivaiheinen tunnistautuminen käyttöön kaikille, tutkia, vastaavatko linkit ja logot kutsuviesteissä toisiaan sekä tarvittaessa jopa estää klikattavat linkit kutsupalveluissaan.