Trusselsaktører retter sig mod Instagram-brugere i en ny phishing-kampagne der bruger URL-omdirigering til at overtage konti eller stjæle følsomme oplysninger, der kan bruges i fremtidige angreb eller sælges på Dark Web.
Som et lokkemiddel bruger kampagnen et forslag om, at brugere muligvis begår krænkelse af ophavsretten - en stor bekymring blandt influencere på sociale medier, virksomheder og endda den gennemsnitlige kontoindehaver på Instagram, afslørede forskere fra Trustwave SpiderLabs i en analyse delt med Dark Reading den 27. okt.
Denne type "krænkelsesphishing" blev også set tidligere i år i en separat kampagne målrettet brugere af Facebook - et brand også under Instagram-moderselskabet Meta — med e-mails, der tyder på, at brugere havde overtrådt fællesskabsstandarder, sagde forskerne.
"Dette tema er ikke nyt, og vi har set det fra tid til anden i løbet af det sidste år," skrev Homer Pacag, Trustwave SpiderLabs sikkerhedsforsker, i indlægget. "Det er det samme trick med ophavsretskrænkelse igen, men denne gang får angriberne flere personlige oplysninger fra deres ofre og bruger unddragelsesteknikker til at skjule phishing-URL'er."
Denne unddragelse kommer i form af URL-omdirigering, en ny taktik blandt trusselsaktører, der udvikler deres phishing-teknikker at være lusket og mere undvigende, efterhånden som internetbrugere bliver mere kyndige.
I stedet for at vedhæfte en ondsindet fil, som en bruger skal klikke på for at komme til en phishing-side — noget som mange mennesker allerede ved virker mistænkeligt — inkluderer URL-omdirigering i en meddelelse en indlejret webadresse, der virker legitim, men som i sidste ende fører til en ondsindet side, der stjæler legitimationsoplysninger i stedet.
Bogus Copyright rapport
Instagram-kampagnen, som forskere opdagede, begynder med en e-mail til en bruger, der giver ham eller hende besked om, at der er modtaget klager over, at kontoen krænker ophavsretten, og at en appel til Instagram er nødvendig, hvis brugeren ikke ønsker at miste kontoen.
Enhver kan indsende en copyright rapport med Instagram, hvis kontoejeren opdager, at deres billeder og videoer bliver brugt af andre Instagram-brugere — noget der ofte sker på den sociale medieplatform. Angribere i kampagnen udnytter dette til at forsøge at narre ofrene til at give deres brugeroplysninger og personlige oplysninger væk, skrev Pacag.
Phishing-e-mails indeholder en knap med et link til en "appelformular", der informerer brugerne om, at de kan klikke på linket for at udfylde formularen og senere vil blive kontaktet af en Instagram-repræsentant.
Forskere analyserede e-mailen i en teksteditor og fandt ud af, at den i stedet for at dirigere brugere til Instagram-webstedet for at udfylde en legitim rapport, anvender URL-omdirigering. Helt konkret bruger linket en URL-omskrivning eller omdirigering til et websted ejet af WhatsApp — hxxps://l[.]wl[.]co/l?u= — efterfulgt af den sande phishing-URL — hxxps://helperlivesback[. ]ml/5372823 — findes i forespørgselsdelen af URL'en, forklarede Pacag.
"Dette er et stadig mere almindeligt phishing-trick, der bruger legitime domæner til at omdirigere til andre URL'er på denne måde," skrev han.
Hvis en bruger klikker på knappen, åbner den hans eller hendes standardbrowser og omdirigerer brugeren til den tilsigtede phishing-side, og går gennem et par trin til sidst for at stjæle bruger- og adgangskodedata, hvis offeret følger med, sagde forskerne.
Trin-for-trin dataindsamling
For det første, hvis offeret indtaster hans eller hendes brugernavn, sendes dataene til serveren via formen "POST"-parametre, sagde forskerne. En bruger bliver bedt om at klikke på en "Fortsæt"-knap, og hvis dette gøres, viser siden det indtastede brugernavn, nu forankret med det typiske "@"-symbol, der bruges til at betegne et Instagram-brugernavn. Derefter beder siden om en adgangskode, som, hvis den indtastes, også sendes til den angriberkontrollerede server, sagde forskerne.
Det er på dette tidspunkt i angrebet, hvor tingene afviger lidt fra en typisk phishing-side, som normalt er tilfreds, når en person indtaster deres brugernavn og adgangskode i de relevante felter, sagde Pacag.
Angriberne i Instagram-kampagnen stopper ikke ved dette trin; i stedet beder de brugeren om at indtaste sin adgangskode endnu en gang og derefter udfylde et spørgsmålsfelt, der spørger, i hvilken by personen bor. Disse data, ligesom resten, sendes også tilbage til serveren via "POST," forklarede Pacag.
Det sidste trin beder brugeren om at udfylde sit telefonnummer, som angribere formentlig kan bruge til at komme forbi to-faktor-autentificering (2FA), hvis det er aktiveret på en Instagram-konto, sagde forskerne. Angribere kan også sælge denne information på Dark Web, i hvilket tilfælde det kan bruges til fremtidige svindelnumre, der starter via telefonopkald, bemærkede de.
Når alle disse personlige oplysninger er høstet af angribere, bliver offeret endelig omdirigeret til Instagrams faktiske hjælpeside og begyndelsen på den autentiske ophavsretsrapporteringsproces, der blev brugt til at indlede fidusen.
Opdagelse af nye phishing-taktik
Med URL-omdirigering og andet mere undvigende taktik bliver taget af trusselsaktører i phishing-kampagner, bliver det sværere at opdage - for både e-mailsikkerhedsløsninger og brugere - hvilke e-mails der er legitime, og hvilke der er et produkt af ondsindet hensigt, sagde forskerne.
"Det kan være svært for de fleste URL-detektionssystemer at identificere denne vildledende praksis, da de tilsigtede phishing-URL'er for det meste er indlejret i URL-forespørgselsparametrene," sagde Pacag.
Indtil teknologien indhenter phishers konstant skiftende taktik, skal e-mailbrugere selv — især i en virksomhedsindstilling— vedligeholde en højere grad af alarmering, når det kommer til meddelelser, der på nogen måde virker mistænkelige for at undgå at blive narret, sagde forskerne.
Måder, brugere kan gøre dette på, er ved at kontrollere, at URL'er inkluderet i meddelelser matcher de legitime af den virksomhed eller tjeneste, der hævder at sende dem; kun at klikke på links i e-mails, der kommer fra betroede brugere, som folk har kommunikeret med tidligere; og tjekke med IT-support, før du klikker på et indlejret eller vedhæftet link i en e-mail.
