Bedrohungsakteure haben es in einem neuen Jahr auf Instagram-Nutzer abgesehen Phishing-Kampagne die URL-Umleitung nutzt, um Konten zu übernehmen oder vertrauliche Informationen zu stehlen, die für zukünftige Angriffe verwendet oder im Dark Web verkauft werden können.
Als Lockmittel nutzt die Kampagne die Andeutung, dass Nutzer möglicherweise Urheberrechtsverletzungen begehen – ein großer Grund zur Besorgnis unter den Nutzern Social Media Influencer, Unternehmen und sogar der durchschnittliche Kontoinhaber auf Instagram, enthüllten Forscher von Trustwave SpiderLabs in eine Analyse geteilt mit Dark Reading am 27. Oktober.
Diese Art von „Verletzungs-Phishing“ wurde Anfang des Jahres auch in einer separaten Kampagne beobachtet Zielgruppe sind Facebook-Nutzer – eine Marke, die ebenfalls zur Instagram-Muttergesellschaft Meta gehört – mit E-Mails, in denen darauf hingewiesen wurde, dass Benutzer gegen Community-Standards verstoßen hätten, sagten die Forscher.
„Dieses Thema ist nicht neu und wir haben es im letzten Jahr von Zeit zu Zeit gesehen“, schrieb Homer Pacag, Sicherheitsforscher von Trustwave SpiderLabs, in dem Beitrag. „Es ist wieder die gleiche Trickserei bei Urheberrechtsverletzungen, aber dieses Mal erhalten die Angreifer mehr persönliche Informationen von ihren Opfern und nutzen Umgehungstechniken, um Phishing-URLs zu verbergen.“
Diese Umgehung erfolgt in Form der URL-Umleitung, einer aufkommenden Taktik unter Bedrohungsakteuren entwickeln ihre Phishing-Techniken weiter um hinterlistiger und ausweichender vorzugehen, wenn die Internetnutzer intelligenter werden.
Anstatt eine bösartige Datei anzuhängen, auf die ein Benutzer klicken muss, um zu einer Phishing-Seite zu gelangen – etwas, von dem viele bereits wissen, dass es verdächtig erscheint – fügt die URL-Umleitung in eine Nachricht eine eingebettete URL ein, die legitim erscheint, aber letztendlich zu einer bösartigen Seite führt, die Anmeldeinformationen stiehlt stattdessen.
Falscher Urheberrechtsbericht
Die von den Forschern entdeckte Instagram-Kampagne beginnt mit einer E-Mail an einen Benutzer, in der er oder sie darüber informiert wird, dass Beschwerden über die Verletzung des Urheberrechts durch das Konto eingegangen sind und dass eine Beschwerde bei Instagram erforderlich ist, wenn der Benutzer das Konto nicht verlieren möchte.
Jeder kann einen Antrag stellen Copyright Bericht mit Instagram, wenn der Kontoinhaber feststellt, dass seine Fotos und Videos von anderen Instagram-Nutzern verwendet werden – was auf der Social-Media-Plattform häufig vorkommt. Angreifer der Kampagne nutzen dies aus, um Opfer dazu zu bringen, ihre Benutzerdaten und persönlichen Daten preiszugeben, schrieb Pacag.
Die Phishing-E-Mails enthalten eine Schaltfläche mit einem Link zu einem „Beschwerdeformular“, das die Benutzer darüber informiert, dass sie auf den Link klicken können, um das Formular auszufüllen, und dass sie später von einem Instagram-Vertreter kontaktiert werden.
Die Forscher analysierten die E-Mail in einem Texteditor und stellten fest, dass Benutzer nicht auf die Instagram-Website weitergeleitet werden, um einen legitimen Bericht auszufüllen, sondern eine URL-Umleitung verwendet wird. Konkret verwendet der Link eine URL-Umschreibung oder einen Redirector zu einer Website von WhatsApp – hxxps://l[.]wl[.]co/l?u= – gefolgt von der echten Phishing-URL – hxxps://helperlivesback[. ]ml/5372823 – im Abfrageteil der URL zu finden, erklärte Pacag.
„Dies ist ein immer häufiger auftretender Phishing-Trick, bei dem legitime Domains verwendet werden, um auf diese Weise auf andere URLs umzuleiten“, schrieb er.
Wenn ein Benutzer auf die Schaltfläche klickt, öffnet er seinen Standardbrowser und leitet den Benutzer auf die beabsichtigte Phishing-Seite weiter. Dabei werden einige Schritte ausgeführt, um letztendlich Benutzer- und Passwortdaten zu stehlen, wenn das Opfer der Aktion folgt, so die Forscher.
Schritt-für-Schritt-Datenerfassung
Wenn das Opfer zunächst seinen Benutzernamen eingibt, werden die Daten über die Formularparameter „POST“ an den Server gesendet, so die Forscher. Ein Benutzer wird aufgefordert, auf die Schaltfläche „Weiter“ zu klicken. Wenn dies erledigt ist, wird auf der Seite der eingegebene Benutzername angezeigt, dem jetzt das typische „@“-Symbol vorangestellt ist, das zur Kennzeichnung eines Instagram-Benutzernamens verwendet wird. Anschließend werde auf der Seite nach einem Passwort gefragt, das bei Eingabe ebenfalls an den vom Angreifer kontrollierten Server gesendet werde, so die Forscher.
An diesem Punkt des Angriffs weichen die Dinge leicht von einer typischen Phishing-Seite ab, die normalerweise erfüllt ist, sobald eine Person ihren Benutzernamen und ihr Passwort in die entsprechenden Felder eingibt, sagte Pacag.
Die Angreifer der Instagram-Kampagne begnügen sich jedoch nicht mit diesem Schritt; Stattdessen bitten sie den Benutzer, sein Passwort noch einmal einzugeben und dann ein Fragefeld auszufüllen, in dem gefragt wird, in welcher Stadt die Person lebt. Diese Daten werden, wie alle anderen auch, per „POST“ an den Server zurückgesendet, erklärte Pacag.
Im letzten Schritt wird der Benutzer aufgefordert, seine Telefonnummer einzugeben, was Angreifer vermutlich verwenden können, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen, wenn diese auf einem Instagram-Konto aktiviert ist, so die Forscher. Angreifer können diese Informationen auch im Dark Web verkaufen und sie dann für zukünftige Betrügereien verwenden, die über Telefonanrufe initiiert werden, stellten sie fest.
Sobald alle diese persönlichen Daten von den Angreifern erfasst wurden, wird das Opfer schließlich auf die eigentliche Hilfeseite von Instagram weitergeleitet und der authentische Urheberrechtsmeldeprozess beginnt, der zur Einleitung des Betrugs verwendet wird.
Erkennen neuartiger Phishing-Taktiken
Mit URL-Umleitung und mehr ausweichende Taktik Angesichts der Tatsache, dass Bedrohungsakteure in Phishing-Kampagnen vorgehen, wird es sowohl für E-Mail-Sicherheitslösungen als auch für Benutzer immer schwieriger zu erkennen, welche E-Mails legitim sind und welche das Produkt böswilliger Absichten sind, so die Forscher.
„Für die meisten URL-Erkennungssysteme kann es schwierig sein, diese betrügerische Praxis zu erkennen, da die beabsichtigten Phishing-URLs größtenteils in die URL-Abfrageparameter eingebettet sind“, sagte Pacag.
Bis die Technologie mit den sich ständig ändernden Taktiken der Phisher Schritt hält, müssen E-Mail-Benutzer selbst – insbesondere im Unternehmensumfeld – bei Nachrichten, die in irgendeiner Weise verdächtig erscheinen, ein höheres Maß an Aufmerksamkeit aufrechterhalten, um nicht getäuscht zu werden, so die Forscher.
Benutzer können dies tun, indem sie überprüfen, ob die in den Nachrichten enthaltenen URLs mit den legitimen URLs des Unternehmens oder Dienstes übereinstimmen, der sie angeblich sendet. Klicken Sie nur auf Links in E-Mails, die von vertrauenswürdigen Benutzern stammen, mit denen zuvor kommuniziert wurde. und erkundigen Sie sich beim IT-Support, bevor Sie auf einen eingebetteten oder angehängten Link in einer E-Mail klicken.
