[email protected] +374 55 22 88 11
Անվտանգություն

Երբ ֆիշինգը գալիս է հենց Meta-ից․ Business Manager-ի գործընկերության հարցումով հարձակման վերլուծություն

18 Մյս 2026

2026 թվականի մայիսի 5-ին, ժամը 06:36-ից մինչև 16:34-ը, CyberHUB-AM-ի փոստարկղում ստացվեցին Meta Business Manager-ի երեք առանձին գործընկերության հարցումներ՝ երեք տարբեր հարձակվող Business Manager հաշիվներից։ Բոլոր երեքը ուղղված էին support @ cyberhub . am հասցեին։ Բոլորը ստացվեցին շուրջ տաս ժամվա ընթացքում։

Ոչ մի նամակ կեղծված չէր։ Բոլոր նամակները հաջողությամբ անցել էին SPF, DKIM և DMARC ստուգումները։ Բոլորը ուղարկվել էին Facebook-ի իրական փոստային սերվերներից (66.220.144.144, 66.220.144.145, 69.171.232.131)։ Բոլոր հղումները ուղղված էին business.facebook.com-ին՝ Meta-ի իրական դոմեյնին։

Սա սովորական ֆիշինգային հարձակում չէ։ Չկա կեղծ ուղարկող, չկա նմանակող դոմեյն, չկա վերնագրի մանիպուլյացիա։ Նամակն իսկապես եկել է Meta-ից։ Եվ հենց դա է, ինչ այս արշավը դարձնում է վտանգավոր և արժանի հանրային փաստաթղթավորման։

Գործընկերության հարցման նամակը՝ ինչպես երևում է փոստարկղում

Եթե դուք վարում եք Facebook էջ կամ Instagram հաշիվ որևէ փոքր բիզնեսի, ՀԿ-ի կամ լրատվամիջոցի համար Հայաստանում, դուք գտնվում եք թիրախային խմբում։ Անցած օրերին մեզ տասնյակ էջերի ադմիններ են դիմել համանման հարցերով։

Ինչու ավանդական ֆիշինգի հայտնաբերումը այստեղ չի գործում

Ստանդարտ խորհուրդը, որը CyberHUB-AM-ը տալիս է լրագրողների և ՀԿ-ների վերապատրաստումներում — ստուգեք ուղարկողի հասցեն, բերեք մկնիկը հղման վրա, հավաստիացեք դոմեյնի մեջ — այս տեսակի հարձակման դեմ կառուցվածքայինորեն անզոր է։

Հարձակվողը նամակը չի ուղարկում։ Meta-ն է ուղարկում։ Հարձակվողը կատարում է մեկ գործողություն Meta Business Manager-ի ներսում․ ուղարկում է գործընկերության հարցում ձեր բիզնեսին։ Այնուհետև Meta-ի սեփական ավտոմատ ծանուցումների համակարգը ստեղծում և ուղարկում է լիովին վավերական նամակ՝ ստորագրված Facebook-ի օրինական ծածկագրային բանալիներով։

Հարձակվողը չի վերահսկում նամակի մետատվյալները — նա վերահսկում է բովանդակությունը, որը Meta-ն տեղադրում է իր ձևանմուշի մեջ։ Մասնավորապես՝ երկու դաշտ․

  1. Business Manager-ի գրանցված անունը (որը հայտնվում է Meta-ի հակախարդախության նախազգուշացման մեջ)
  2. Հարցման մարմնում ցուցադրվող անունը

Երկու դաշտերը խմբագրելի են օգտատիրոջ կողմից։ Meta-ն դրանց ուժեղ մոդերացիա չի անցկացնում։ Իսկ հարձակվողները հենց դա էլ սովորել են շահագործել։

Մայիսի 5-ի նմուշներում նկատված երեք տեխնիկաներ

1. Նախազգուշացման ներարկում — ամենանորարարական գտածոն

Meta-ի ծանուցումների համակարգը նամակի ներսում միշտ ցուցադրում է հենց այս նախադասությունը․

[ԲԻԶՆԵՍԻ ԱՆՈՒՆ] is not part of or affiliated with Meta. Only approve requests and invitations from people and businesses that you know and trust.

Սա Meta-ի հակախարդախության նախազգուշացումն է։ Այն պետք է զգուշացնի ձեզ։ Թավ տառերով գրված տեքստը հենց հարցում ուղարկող կողմի գրանցված բիզնեսի անունն է։

Մեր ստացած երեք նմուշներից մեկում հարձակվողը գրանցել էր իր Business Manager-ը հետևյալ անվամբ․

Agency Partner Program is Meta’s partner network, any other Program

Երբ սա միանում է Meta-ի ձևանմուշին, ստացված նախադասությունն ունենում է հետևյալ տեսքը․

Agency Partner Program is Meta’s partner network, any other Program is not part of or affiliated with Meta.

Նամակը արագ ընթերցողը սա ընկալում է որպես․ «Agency Partner Program-ը Meta-ի պաշտոնական գործընկերային ցանցն է — ցանկացած այլ ծրագիր Meta–ի հետ փոխկապակցված չէ»։ Հարձակվողը Meta-ի հակախարդախության նախազգուշացումը վերածել է իր սեփական հաստատման՝ ուղղակի ստեղծագործորեն ընտրված բիզնեսի անվան միջոցով։

Տեխնիկան հայեցակարգային առումով նման է SQL injection-ի՝ նույն տրամաբանությունը, կիրառված ոչ թե տվյալների բազայի, այլ UI ձևանմուշի վրա։ Հարձակվողը ներարկում է բովանդակություն, որը կոտրում է Meta-ի ձևանմուշի սպասվող քերականական սահմանը և ստիպում, որ ձևանմուշը արտադրի իր նպատակին հակառակ իմաստ։ Մենք այս տեխնիկան նախկինում չենք տեսել, այն ներկայացնում է հարձակման հետաքրքիր էվոլյուցիա։

SCREENSHOT 2: ընդգծված նախազգուշացում՝ թավատառ հատվածով

2. Անունների կրկնակի անհամաչափություն

Մյուս երկու նմուշները օգտագործում էին անվան մանիպուլյացիայի ավելի նուրբ ձև։ Յուրաքանչյուրը ներկայացնում էր երկու փոքր-ինչ տարբեր անուններ — մեկը նախազգուշացման մեջ, մյուսը՝ հարցման մարմնում․

  • “Agency Certified Network” / “Agency Certification Hub
  • “Agency Endorsement Program” / “Agency Compliance Program”

Երկու անունները երևում են որպես մեկ կազմակերպության փոխկապակցված մասեր — Network մի Hub-ով, Program մի Compliance թևով։ Անհամաչափությունը հուշում է կազմակերպչական խորություն և լեգիտիմություն։ Որպես կողմնակի օգուտ՝ այն շրջանցում է պարզ բանալի-բառով ֆիլտրերը․ “Agency Certification Hub”-ի համար ստեղծված արգելման ցուցակը չի համապատասխանեցնում “Agency Certified Network”-ին։

3. Կաղապարային վստահության բառապաշար և տիպոսքվոթինգով գրված Messenger հանդելներ

Երեք նմուշներում հարձակվողների անունների շտեմարանը քաղված է փոքր, կանխամտածված բառապաշարային խմբից․ Certified, Certification, Endorsement, Compliance, Partner, Program, Network, Hub։ Բոլոր անունները հետևում են [Իշխանական ածական] + [Հաստատության գոյական] օրինաչափությանը, և բոլորը Business Manager-ը ներկայացնում են որպես Meta-ին հարակից։

Յուրաքանչյուր հարցման մարմինը նաև ներդնում է Messenger հանդել՝ հետագա շփման համար․ m.me/Partnerprogramss (նկատեք կրկնված s-ը) և m.me/aPartnerplatfomprogram (նկատեք սխալ գրված “platfom”-ը)։ Սրանք տիպոսքվոթինգով գրված հանդելներ են։ Իրականին նման տարբերակները, ենթադրաբար, արդեն գրանցված կամ ամրագրված են, հետևաբար հարձակվողները գրանցում են մոտակա սխալներ, որոնք արագ ընթերցելիս երևում են ճիշտ։

Ինչ է փաստացի շահում հարձակվողը

Այս հարձակումը չի գողանում ձեր գաղտնաբառը։ Չի շրջանցում ձեր երկգործոն նույնականացումը։ Եթե դուք ընդունում եք գործընկերության հարցումը, հարձակվողի Business Manager-ին տրվում է մշտական մուտք այն ակտիվներին, որոնք դուք վերահսկում եք — Pages, գովազդային հաշիվներ, custom audiences։ Այստեղից սկսված՝ հարձակվողը կարող է անել հետևյալ գործողությունները․

  • Ձեր գովազդային հաշվի վրա սեփական գովազդներ վարել, ձեր վարկային գծից սպառելով։ Cryptocurrency-ի խարդախությունները, fraudulent dropshipping-ը և քաղաքական ապատեղեկատվությունը ամենահանդիպող բովանդակություններն են։
  • Ձեր Page-ի վրա հրապարակել, գողանալով այն լսարանի վստահությունը, որը դուք ստեղծել եք տարիների ընթացքում։
  • Հարձակումը շարունակել՝ մինչև ադմինի փոխարինում և Page-ի լրիվ զավթում։

Մարքեթինգային գործակալության համար, որը ղեկավարում է Business Manager-ի մուտքը 30-40 հաճախորդների համար, մեկ աշխատակցի մեկ նամակում «Approve»-ի սեղմումը բացում է բոլոր հաճախորդներին։ Փոքր ՀԿ-ի կամ լրատվամիջոցի համար հետևանքը հեղինակության վնաս է, որը տարածվում է ավելի արագ, քան վերականգնումը հնարավոր է։

Ինչ անել

  1. Յուրաքանչյուր անսպասելի գործընկերության հարցում վերաբերվեք որպես հարձակում։ Մի հաստատեք որևէ գործընկերության հարցում, որը դուք եք նախաձեռնել կամ ակնկալել։
  2. Ստուգեք ձեր առկա գործընկերներին։ Գնացեք Meta Business Suite → Settings → Partners։ Հեռացրեք այն ամենը, որը չեք ճանաչում։
  3. Մի սեղմեք «View request»-ը նամակից։ Եթե հարկ եղավ ուսումնասիրել գործընկերության հարցումը, ուղիղ գնացեք business.facebook.com և սպասող հարցումները տեսեք այնտեղ։
  4. Հաղորդեք նամակը Meta-ին p[email protected] հասցեով։
  5. Վերապատրաստեք յուրաքանչյուր աշխատակցի, որն ադմինի կամ խմբագրի մուտք ունի ձեր Page-ին։
← previous post Դասընթացի հրավեր. Հիբրիդային դիմակայություն․ԱԲ, փաստերի ստուգում և թվային անվտանգություն