האקרים מפעילים מתקפות דיוג בפייסבוק ומשתמשים בפוסטים בפייסבוק כחלק משרשרת המתקפה, במטרה להערים על משתמשים למסור את אישורי החשבון שלהם ומידע אישי מזהה. האימיילים שנשלחו לקורבנות מתריאים לכאורה על בעיית הפרת זכויות יוצרים באחד מהפוסטים של הקורבן ומזהירים אותו שהחשבון שלו יימחק תוך 48 שעות אם לא יגיש ערעור.
הקישור לערעור על מחיקת החשבון הוא למעשה פוסט ב- facebook.com, עובדה המסייעת להאקרים לעקוף פתרונות אבטחת דוא"ל ולהבטיח שהודעות הדיוג שלהם נוחתות בתיבת הדואר הנכנס של הקורבן. הפוסט בפייסבוק מתיימר להיות "תמיכה בעמודים", תוך שימוש בלוגו של פייסבוק כדי להציג מצג שווא כאילו פייסבוק היא זו אשר מנהלת אותו. עם זאת, פוסט זה כולל קישור לאתר פישינג חיצוני הכולל את השם Meta – החברה שפייסבוק בבעלותה, כדי להפחית את הסיכוי שהקורבנות יבינו את ההונאה. האנליסטים בחברת Trustwave שגילו את ההתחזות, מצאו את שלושת כתובות האתרים הבאים אשר עדיין פעילים נכון לרגע זה:
meta[.]forbusinessuser[.]xyz/?fbclid=123
meta[.]forbusinessuser[.]xyz/main[.]php
meta[.]forbusinessuser[.]xyz/checkpoint[.]php
אתרי הדיוג נוצרו בקפידה כדי לגרום להם להיראות כמו דף הערעור האמיתי של פייסבוק על זכויות יוצרים – דף המכיל טופס שבו הקורבנות מתבקשים להזין את שמם המלא, כתובת דוא"ל, מספר הטלפון ושם המשתמש שלהם בפייסבוק. עם שליחת הנתונים על ידי הקורבן, הדף גם אוסף את כתובת ה- IP שלו ומידע על מיקומו גיאוגרפי ולאחר מכן, מעביר הכל לחשבון טלגרם אשר בשליטת ההאקרים. אלו מצידם, עשויים לאסוף את המידע הנוסף כדי לעקוף הגנות טביעת אצבע או שאלות אבטחה בזמן השתלטות על חשבון הפייסבוק של הקורבן. בינתיים, הפניה מחדש לוקחת את הקורבן לדף הדיוג הבא, המציג בקשת סיסמה חד-פעמית (OTP) מזויפת בת 6 ספרות עם טיימר. כל קוד שהקורבן יזין יגרום לשגיאה, ואם ההודעה 'צריך דרך אחרת לאימות?' נבחרת, האתר מפנה לאתר פייסבוק.
האנליסטים של Trustwave גילו גם שההאקרים משתמשים ב- Google Analytics בדפי התחזות שלהם כדי לעזור להם לעקוב אחר יעילות מתקפות הדיוג שלהם. Trustwave מצאו חשבונות פייסבוק רבים המשתמשים בפוסטים מזויפים שנועדו להופיע כדפי תמיכה לכאורה, המובילים קורבנות לאתרי דיוג. פוסטים אלו משתמשים בכתובות אתרים מקוצרות לצורך קישור לאתרי דיוג כדי להתחמק מסימון והסרה על ידי פייסבוק. קורבנות עלולים לנחות על פוסטים אלו באמצעות דוא"ל דיוג, כמו בסוג המתקפה שהוצג לעיל, או באמצעות הודעות מיידיות שהתקבלו בפייסבוק.
