تستهدف الجهات الفاعلة في مجال التهديد مستخدمي Instagram بطريقة جديدة حملة التصيد يستخدم إعادة توجيه عنوان URL للاستيلاء على الحسابات، أو سرقة المعلومات الحساسة التي يمكن استخدامها في الهجمات المستقبلية أو بيعها على الويب المظلم.
كإغراء، تستخدم الحملة اقتراحًا بأن المستخدمين ربما يرتكبون انتهاكًا لحقوق الطبع والنشر - وهو ما يثير قلقًا كبيرًا بين المستخدمين المؤثرين وسائل الاعلام الاجتماعيةوالشركات، وحتى صاحب الحساب العادي على Instagram، حسبما كشف باحثون من Trustwave SpiderLabs تحليل تمت مشاركتها مع Dark Reading في 27 أكتوبر.
وقد شوهد هذا النوع من "التصيد الاحتيالي للانتهاكات" أيضًا في وقت سابق من هذا العام، في حملة منفصلة استهداف مستخدمي الفيسبوك — علامة تجارية تابعة أيضًا لشركة Meta، الشركة الأم لـ Instagram، تحتوي على رسائل بريد إلكتروني تشير إلى أن المستخدمين قد انتهكوا معايير المجتمع، حسبما قال الباحثون.
"هذا الموضوع ليس جديدًا، وقد رأيناه من وقت لآخر خلال العام الماضي،" كتب هومر باكاج، الباحث الأمني في Trustwave SpiderLabs، في المنشور. "إنها نفس خدعة انتهاك حقوق الطبع والنشر مرة أخرى، ولكن هذه المرة، يحصل المهاجمون على المزيد من المعلومات الشخصية من ضحاياهم ويستخدمون تقنيات التهرب لإخفاء عناوين URL للتصيد الاحتيالي."
ويأتي هذا التهرب في شكل إعادة توجيه عنوان URL، وهو تكتيك ناشئ بين الجهات الفاعلة في مجال التهديد يقومون بتطوير تقنيات التصيد الاحتيالي الخاصة بهم أن تكون أكثر تسللًا وأكثر مراوغة حيث أصبح مستخدمو الإنترنت أكثر ذكاءً.
بدلاً من إرفاق ملف ضار يجب على المستخدم النقر عليه للوصول إلى صفحة التصيد الاحتيالي — شيء يعرفه الكثير من الأشخاص بالفعل يبدو مريبًا — تتضمن إعادة توجيه عنوان URL في الرسالة عنوان URL مضمنًا يبدو شرعيًا ولكنه يؤدي في النهاية إلى صفحة ضارة تسرق بيانات الاعتماد بدلاً من.
تقرير حقوق التأليف والنشر وهمية
تبدأ حملة Instagram التي اكتشفها الباحثون برسالة بريد إلكتروني إلى المستخدم لإبلاغه بتلقي شكاوى بشأن انتهاك الحساب لحقوق الطبع والنشر، وأن تقديم التماس إلى Instagram ضروري إذا كان المستخدم لا يريد فقدان الحساب.
يمكن لأي شخص تقديم ملف أ تقرير حقوق الطبع والنشر مع Instagram إذا اكتشف مالك الحساب أن الصور ومقاطع الفيديو الخاصة به يتم استخدامها من قبل مستخدمي Instagram الآخرين - وهو أمر يحدث كثيرًا على منصة التواصل الاجتماعي. وكتب باكاج أن المهاجمين في الحملة يستغلون هذا لمحاولة خداع الضحايا للتخلي عن بيانات اعتماد المستخدم والمعلومات الشخصية الخاصة بهم.
تتضمن رسائل البريد الإلكتروني التصيدية زرًا به رابط إلى "نموذج الاستئناف"، لإعلام المستخدمين أنه يمكنهم النقر فوق الرابط لملء النموذج وسيتم الاتصال بهم لاحقًا من قبل ممثل Instagram.
قام الباحثون بتحليل البريد الإلكتروني في محرر النصوص، ووجدوا أنه بدلاً من توجيه المستخدمين إلى موقع Instagram لملء تقرير شرعي، فإنه يستخدم إعادة توجيه عنوان URL. على وجه التحديد، يستخدم الرابط إعادة كتابة عنوان URL أو معيد التوجيه إلى موقع مملوك لتطبيق WhatsApp — hxxps://l[.]wl[.]co/l?u= — متبوعًا بعنوان URL الحقيقي للتصيد الاحتيالي — hxxps://helperlivesback[. ]ml/5372823 — تم العثور عليه في جزء الاستعلام من عنوان URL، كما أوضح باكاج.
وكتب: "هذه خدعة تصيد شائعة بشكل متزايد، تستخدم نطاقات مشروعة لإعادة التوجيه إلى عناوين URL أخرى بهذه الطريقة".
وقال الباحثون إنه إذا نقر المستخدم على الزر، فإنه يفتح المتصفح الافتراضي الخاص به ويعيد توجيه المستخدم إلى صفحة التصيد المقصودة، ويمر ببضع خطوات في النهاية لسرقة بيانات المستخدم وكلمة المرور إذا تابعت الضحية ذلك.
حصاد البيانات خطوة بخطوة
أولاً، إذا أدخلت الضحية اسم المستخدم الخاص بها، فسيتم إرسال البيانات إلى الخادم عبر معلمات النموذج "POST"، كما قال الباحثون. يُطلب من المستخدم النقر على زر "متابعة"، وإذا تم ذلك، فستعرض الصفحة اسم المستخدم المكتوب، مسبوقًا الآن بالرمز "@" النموذجي المستخدم للإشارة إلى اسم مستخدم Instagram. وقال الباحثون إن الصفحة تطلب بعد ذلك كلمة مرور، والتي إذا تم إدخالها، يتم إرسالها أيضًا إلى الخادم الذي يتحكم فيه المهاجم.
وقال باكاج إنه في هذه المرحلة من الهجوم، تنحرف الأمور قليلاً عن صفحة التصيد الاحتيالي النموذجية، والتي عادةً ما يتم تلبيتها بمجرد قيام الشخص بإدخال اسم المستخدم وكلمة المرور الخاصة به في الحقول المناسبة.
ولا يتوقف المهاجمون في حملة إنستغرام عند هذه الخطوة؛ وبدلاً من ذلك، يطلبون من المستخدم كتابة كلمة المرور الخاصة به مرة أخرى ثم ملء حقل سؤال يسأل في أي مدينة يعيش الشخص. وأوضح باكاج أن هذه البيانات، مثل بقية البيانات، يتم إرسالها مرة أخرى إلى الخادم عبر "POST".
وقال الباحثون إن الخطوة الأخيرة تطالب المستخدم بملء رقم هاتفه، والذي من المفترض أن يستخدمه المهاجمون لتجاوز المصادقة الثنائية (2FA) إذا تم تمكينه على حساب Instagram. وأشاروا إلى أنه يمكن للمهاجمين أيضًا بيع هذه المعلومات على شبكة الويب المظلمة، وفي هذه الحالة يمكن استخدامها لعمليات الاحتيال المستقبلية التي تبدأ عبر المكالمات الهاتفية.
بمجرد أن يجمع المهاجمون كل هذه المعلومات الشخصية، تتم إعادة توجيه الضحية أخيرًا إلى صفحة المساعدة الفعلية في Instagram وبدء عملية الإبلاغ الأصلية عن حقوق الطبع والنشر المستخدمة لبدء عملية الاحتيال.
الكشف عن تكتيكات التصيد الاحتيالي الجديدة
مع إعادة توجيه URL وغيرها تكتيكات مراوغة أكثر قال الباحثون إنه بعد أن تم الاستيلاء عليها من قبل الجهات الفاعلة في مجال التهديد في حملات التصيد الاحتيالي، أصبح من الصعب اكتشاف كل من حلول أمان البريد الإلكتروني والمستخدمين على حدٍ سواء - أي رسائل البريد الإلكتروني مشروعة وأيها هي نتاج نوايا ضارة.
قال باكاج: "قد يكون من الصعب على معظم أنظمة الكشف عن عناوين URL التعرف على هذه الممارسة الخادعة، نظرًا لأن عناوين URL المقصودة للتصيد الاحتيالي تكون مضمنة في الغالب في معلمات استعلام URL".
وإلى أن تلحق التكنولوجيا بأساليب التصيد الاحتيالي المتغيرة باستمرار، يحتاج مستخدمو البريد الإلكتروني أنفسهم - وخاصة في بيئة الشركة - إلى الحفاظ على درجة أعلى من التنبيه عندما يتعلق الأمر بالرسائل التي تبدو مشبوهة بأي شكل من الأشكال لتجنب التعرض للخداع، كما قال الباحثون.
الطرق التي يمكن للمستخدمين من خلالها القيام بذلك هي التحقق من أن عناوين URL المضمنة في الرسائل تتطابق مع العناوين الشرعية للشركة أو الخدمة التي تدعي أنها ترسلها؛ النقر فقط على الروابط الموجودة في رسائل البريد الإلكتروني التي تأتي من مستخدمين موثوقين تواصل معهم الأشخاص سابقًا؛ والتحقق من دعم تكنولوجيا المعلومات قبل النقر فوق أي رابط مضمن أو مرفق في رسالة بريد إلكتروني.
