Im November 2021, Tord Lundström, dem technischen Direktor der schwedischen gemeinnützigen Organisation Qurium Media für digitale Forensik, ist etwas Seltsames aufgefallen. Ein massiver DDoS-Angriff (Distributed Denial of Service) zielte auf Bulatlat ab, ein alternatives philippinisches Medienunternehmen, das von der gemeinnützigen Organisation gehostet wird. Und es kam von Facebook-Nutzern.
Lundström und sein Team gefunden dass der Angriff nur der Anfang war. Bulatlat war zum Ziel einer ausgeklügelten vietnamesischen Trollfarm geworden, die die Anmeldeinformationen von Tausenden von Facebook-Konten erfasst und sie in böswillige Bots verwandelt hatte, um die Anmeldeinformationen von noch mehr Konten anzugreifen, um ihre Zahl zu erhöhen.
Das Ausmaß dieses Angriffs war selbst für Bulatlat, das seit langem das Ziel von ist, überwältigend Zensur u große Cyberangriffe. Das Team von Qurium blockierte täglich bis zu 60.000 IP-Adressen für den Zugriff auf die Website von Bulatlat. „Wir wussten nicht, woher es kam, warum die Leute zu diesen bestimmten Teilen der Bulatlat-Website gingen“, sagt Lundström.
Als sie den Angriff verfolgten, wurden die Dinge noch seltsamer. Lundström und sein Team stellten fest, dass Anfragen nach Seiten auf Bulatlats Website tatsächlich von Facebook-Links kamen, die so getarnt waren, dass sie wie Links zu Pornografie aussehen. Diese betrügerischen Links erfassten die Anmeldeinformationen der Facebook-Benutzer und leiteten den Datenverkehr an Bulatlat um, wodurch im Wesentlichen gleichzeitig ein Phishing-Angriff und ein DDoS-Angriff ausgeführt wurden. Von dort aus wurden die kompromittierten Konten automatisiert, um ihre Netzwerke mit immer mehr der gleichen gefälschten Porno-Links zu spammen, was wiederum immer mehr Benutzer dazu brachte, auf die Website von Bulatlat zu gelangen.
Obwohl die Facebook-Muttergesellschaft Meta über Systeme zur Erkennung von Phishing-Betrug und problematischen Links verfügt, stellte Qurium fest, dass die Angreifer eine „Bounce-Domain“ verwendeten. Das bedeutete, dass, wenn das Erkennungssystem von Meta die Domain testen würde, sie auf eine legitime Website verlinken würde, aber wenn ein normaler Benutzer auf den Link klickt, würde er auf die Phishing-Site umgeleitet.
Nach monatelanger Untersuchung konnte Qurium ein vietnamesisches Unternehmen namens Mac Quan Inc. identifizieren, das einige der Domainnamen für die Phishing-Sites registriert hatte. Qurium schätzt, dass die vietnamesische Gruppe die Zugangsdaten von mehr als 500.000 Facebook-Nutzern aus mehr als 30 Ländern mit etwa 100 verschiedenen Domainnamen erfasst hat. Es wird angenommen, dass über 1 Million Konten vom Bot-Netzwerk angegriffen wurden.
Um die Erkennungssysteme von Meta weiter zu umgehen, verwendeten die Angreifer „Residential Proxys“, die den Datenverkehr über einen Vermittler mit Sitz im selben Land wie das gestohlene Facebook-Konto – normalerweise ein lokales Mobiltelefon – leiteten, um den Anschein zu erwecken, als käme die Anmeldung von einem Einheimischen IP Adresse. „Jeder von überall auf der Welt kann dann auf diese Konten zugreifen und sie für alles verwenden, was er will“, sagt Lundström.
Eine Facebook-Seite für „Mac Quan IT“ gibt an, dass ihr Besitzer ein Ingenieur bei der Domain-Firma Namecheap.com ist, und enthält einen Beitrag vom 30. Mai 2021, in dem Likes und Follower zum Verkauf angeboten wurden: 10.000 Yen (70 US-Dollar) für 350 Likes und 20.000 Yen für 1.000 Follower. WIRED hat die an die Facebook-Seite angehängte E-Mail um einen Kommentar gebeten, aber keine Antwort erhalten. Qurium verfolgte den Domänennamen weiter zu einer E-Mail, die bei einer Person namens Mien Trung Vinh registriert war.