Siber suçlular, Meta For Business kullanıcılarından iş bilgilerini ve diğer hassas verileri çalmak için tasarlanmış kimlik avı saldırılarını dağıtan bir kampanyada Facebook Messenger sohbet robotlarını kötüye kullandı.
Huntress tarafından tanımlanan kampanya, mesajların meşru bir Facebook Business e-posta hesabından geliyormuş gibi görünmesi nedeniyle birçok gelen kutusundaki güvenlik doğrulama kontrollerini başarıyla geçmenin bir yolunu buldu.
Kimlik avı e-postası, saldırganın niyetinin tam tersi olmasına rağmen, hesabı 'korumak' için bir doğrulama teklifiyle mağdurları cezbetmeye çalıştı. Amaç, kurbana ait şifreler, çok faktörlü kimlik doğrulama (MFA) kodları, iş ve kişisel telefon numaraları, e-posta adresleri ve resmi kimlik veya pasaport resimleri dahil olmak üzere kimlik bilgilerini çalmaktı.
Yasadışı kampanya Kasım 2025'te veya civarında başladı ve Meta'nın altyapının saldırganlar tarafından istismar edilmesini önlemek için harekete geçtiği Haziran 2026'ya kadar devam etti.
Huntress'in 7 Temmuz'daki blog gönderisinde ayrıntılarıyla anlatıldığı gibi, kimlik avı tuzağı, Facebook Business hesabı kullanıcılarına doğrulanmış bir rozetle "markalarını korumanın" bir yolunu sunduğunu iddia ediyor. Facebook gerçek bir doğrulama hizmeti sunsa da, ücretli bir aboneliğe dayanıyor ve süreç bir e-posta yoluyla değil, Facebook ekosistemi içinde başlıyor.
Uzmanların Görüşleri
Kimlik avı tuzağı ayrıca, saldırganlar için oturum açma kimlik bilgilerini çalmanın bir yöntemi olan, herhangi bir MFA belirtecinin girilmesi de dahil olmak üzere, kullanıcının sahte bir kimlik avı sayfasında kimliğini doğrulamak için oturum açmasını talep eder.
Ele Geçirilmiş Bir Chatbot
Sistem Güvenliği
Facebook Messenger'da AI Strategic Partner adlı sahte bir hesap üzerinden çalıştırdıkları achatbot'un dahil edilmesiyle daha fazla faaliyet desteklendi.
Botla etkileşim, kullanıcıyı, saldırganlar tarafından kontrol edilen ve kullanıcıdan hesabını 'doğrulamak' için ek bilgiler göndermesini isteyen bir kimlik avı sayfasına götürdü.
Bu, kurbandan kimliğini pasaport, ehliyet veya ulusal kimlik kartıyla doğrulamasını istemeden önce bir kez daha kurbandan kullanıcı adını ve şifresini istedi; buna başka bir sahte MFA kontrolü de dahildi.
Bunun bir fotoğrafını yüklemek, saldırganlara dolandırıcılık ve diğer dolandırıcılık amacıyla kullanılabilecek büyük miktarda kişisel bilgi sağlayacaktır. Dolandırıcılar, bir işletme hesabını ele geçirmek için çalıntı bir kullanıcı adı ve şifre kullanarak dolandırıcılıkla para kazanma konusunda çeşitli seçeneklere sahip olacak.
Teknik Analiz
Huntress'in baş tehdit istihbaratı olayı komutanı Andrew Brandt, "Tehdit aktörleri, kurbanın parasını kötü niyetli veya dolandırıcılık amaçlı reklamlara harcamak için Meta işletme hesaplarından yararlanabilir veya kurtarma yöntemlerini ve şifreyi değiştirerek hesabı tamamen ele geçirebilir ve işletmenin müşterilerine veya sosyal medya takipçilerine daha hedefli saldırılar iletmek için hesabı kullanabilir" dedi.
Meta, etkinliği engellemek için harekete geçti ancak Facebook hesaplarının, özellikle de işletme hesaplarının doğası, bunların kimlik avı saldırıları için birincil hedef olmaya devam ettiği anlamına geliyor.
Sonuç ve Değerlendirme
Bu mesajlar, Facebook gibi büyük bir şirkete özgü olmayan yazım, dilbilgisi ve biçimlendirme hataları içeriyordu. Kimlik avı e-postaları aynı zamanda kullanıcılara ücretsiz bir hizmet sunmayı da teklif ediyordu ancak gerçekte doğrulama süreci Meta ile yapılan ücretli bir işleme dayalıydı.
Brandt, "Kötü grafikler, alışılmadık görünen bağlantılar ve sizi heyecan verici bir fırsata davet eden bir e-postanın beklenmedik bir şekilde gelmesi, bunların hepsi kırmızı bayraklardır. Dolayısıyla, eğer böyle bir mesaj alırsanız ve pek de doğru değilse veya beklenmedik görünüyorsa, o mesajı çöpe atın. Düşündüğünüzden daha fazlasını kaybedebilirsiniz," dedi.