Facebook Phishing campaign targeting Israeli users

2015, Mar 22    

A worried user notified me about a suspicious message he received that looks like it was sent by Facebook Security team.

The message which seems like it was translated by an automatic service reads as follows:

“Facebook blocking an account. We have received feedback that your account may not be Authentic. Facebook is a community where people share and Interaction through real identity. If you wish to reactivate your account, please check back you Account. To activate your account, here’s approval of the application: hxxp: //support-admin.ucoz.net/security.htm

If you do not immediately confirm the grace period of 24 hours Once you receive this message, then we are sorry we remove Account. Thank you, on cooperation By Facebook © Copyright 2015 All rights reserved ™ P.O.Box Facebook Inc. 10005, Palo Alto, CA 94303”

Or the original Hebrew version:

הודעת חסימת פייסבוק חשבון. קיבלנו משוב שהחשבון שלך לא יכול להיות אותנטי. פייסבוק היא קהילה שבו אנשים חולקים ו אינטראקציה באמצעות זהותו אמיתית. אם ברצונך להפעיל מחדש את החשבון שלך, אנא בדוק שוב אותך חשבון. להפעלת החשבון שלך, הנה אישור בבקשה: hxxp://support-admin.ucoz.net/security.htm

אם אתה לא באופן מיידי לאשר את תקופת החסד של 24 שעות לאחר שתקבל הודעה זו, אז אנחנו מצטערים נסיר חשבון. תודה לך, על שיתוף פעולה על ידי חברת פייסבוק © כל הזכויות שמורות 2,015 ™ כל הזכויות שמורות P.O.Box פייסבוק Inc. 10005, פאלו אלטו, קליפורניה 94,303

Facebook Anti-phishing team and Facebook security have been notified about the campaign but still fail to disable this bot activity.

I’m trying to raise a little public awareness in hope of hasting Facebook to implement some kind of checks preventing this bot from spreading and notify people who have been compromised by this activity.

Fake Facebook security user - hxxps://www.facebook.com/smadareitsuveishi Phishing external link - hxxp://support-admin.ucoz.net/security.htm Hosted IP - 213[.]174[.]157[.]140