Los actores de amenazas están apuntando a los usuarios de Instagram en un nuevo campaña de phishing que utiliza la redirección de URL para apoderarse de las cuentas o robar información confidencial que puede usarse en futuros ataques o venderse en la Dark Web.
Como señuelo, la campaña utiliza la sugerencia de que los usuarios pueden estar infringiendo los derechos de autor, una gran preocupación entre influencers de las redes sociales, empresas e incluso el titular promedio de una cuenta en Instagram, según revelaron los investigadores de Trustwave SpiderLabs en un análisis compartido con Dark Reading el 27 de octubre.
Este tipo de "phishing de infracción" también se vio a principios de este año, en una campaña separada. Dirigirse a los usuarios de Facebook —una marca también bajo la empresa matriz de Instagram, Meta— con correos electrónicos que sugerían que los usuarios habían violado los estándares de la comunidad, dijeron los investigadores.
“Este tema no es nuevo, y lo hemos visto de vez en cuando durante el último año”, escribió en la publicación Homer Pacag, investigador de seguridad de Trustwave SpiderLabs. "Es el mismo truco de infracción de derechos de autor nuevamente, pero esta vez, los atacantes obtienen más información personal de sus víctimas y usan técnicas de evasión para ocultar las URL de phishing".
Esa evasión viene en forma de redirección de URL, una táctica emergente entre los actores de amenazas que están evolucionando sus técnicas de phishing ser más sigilosos y evasivos a medida que los usuarios de Internet se vuelven más inteligentes.
En lugar de adjuntar un archivo malicioso en el que un usuario debe hacer clic para llegar a una página de phishing, algo que muchas personas ya saben que parece sospechoso, la redirección de URL incluye en un mensaje una URL incrustada que parece legítima pero que finalmente conduce a una página maliciosa que roba credenciales. en cambio.
Informe de derechos de autor falso
La campaña de Instagram que descubrieron los investigadores comienza con un correo electrónico a un usuario que le notifica que se recibieron quejas sobre la cuenta que infringe los derechos de autor y que es necesario apelar a Instagram si el usuario no quiere perder la cuenta.
Cualquiera puede presentar una informe de derechos de autor con Instagram si el propietario de la cuenta descubre que sus fotos y videos están siendo utilizados por otros usuarios de Instagram, algo que sucede a menudo en la plataforma de redes sociales. Los atacantes de la campaña se están aprovechando de esto para tratar de engañar a las víctimas para que entreguen sus credenciales de usuario e información personal, escribió Pacag.
Los correos electrónicos de phishing incluyen un botón con un enlace a un "formulario de apelación", que informa a los usuarios que pueden hacer clic en el enlace para completar el formulario y luego serán contactados por un representante de Instagram.
Los investigadores analizaron el correo electrónico en un editor de texto y descubrieron que, en lugar de dirigir a los usuarios al sitio de Instagram para completar un informe legítimo, emplea la redirección de URL. Específicamente, el enlace usa una reescritura de URL o un redireccionamiento a un sitio propiedad de WhatsApp — hxxps://l[.]wl[.]co/l?u= — seguido de la verdadera URL de phishing — hxxps://helperlivesback[. ]ml/5372823: se encuentra en la parte de consulta de la URL, explicó Pacag.
“Este es un truco de phishing cada vez más común, que utiliza dominios legítimos para redirigir a otras URL de esta manera”, escribió.
Si un usuario hace clic en el botón, abre su navegador predeterminado y lo redirige a la página de phishing deseada, siguiendo algunos pasos en última instancia para robar datos de usuario y contraseña si la víctima sigue adelante, dijeron los investigadores.
Recolección de datos paso a paso
Primero, si la víctima ingresa su nombre de usuario, los datos se envían al servidor a través de los parámetros del formulario "POST", dijeron los investigadores. Se le pide al usuario que haga clic en el botón "Continuar" y, si lo hace, la página muestra el nombre de usuario escrito, ahora con el prefijo del símbolo típico "@" que se usa para indicar un nombre de usuario de Instagram. Luego, la página solicita una contraseña que, si se ingresa, también se envía al servidor controlado por el atacante, dijeron los investigadores.
Es en este punto del ataque donde las cosas se desvían ligeramente de una página típica de phishing, que generalmente se satisface una vez que una persona ingresa su nombre de usuario y contraseña en los campos apropiados, dijo Pacag.
Los atacantes de la campaña de Instagram no se quedan en este paso; en cambio, le piden al usuario que ingrese su contraseña una vez más y luego complete un campo de pregunta que pregunta en qué ciudad vive la persona. Estos datos, como el resto, también se envían de regreso al servidor a través de "POST", explicó Pacag.
El último paso solicita al usuario que ingrese su número de teléfono, que presumiblemente los atacantes pueden usar para pasar la autenticación de dos factores (2FA) si está habilitada en una cuenta de Instagram, dijeron los investigadores. Los atacantes también pueden vender esta información en la Dark Web, en cuyo caso se puede usar para futuras estafas que se inicien a través de llamadas telefónicas, señalaron.
Una vez que los atacantes recopilan toda esta información personal, la víctima finalmente es redirigida a la página de ayuda real de Instagram y el comienzo del proceso auténtico de informe de derechos de autor utilizado para iniciar la estafa.
Detección de nuevas tácticas de phishing
Con redirección de URL y otros tácticas más evasivas Al ser tomado por actores de amenazas en campañas de phishing, cada vez es más difícil detectar, tanto para las soluciones de seguridad de correo electrónico como para los usuarios, qué correos electrónicos son legítimos y cuáles son producto de intenciones maliciosas, dijeron los investigadores.
“Puede ser difícil para la mayoría de los sistemas de detección de URL identificar esta práctica engañosa, ya que las URL de phishing previstas están incrustadas principalmente en los parámetros de consulta de URL”, dijo Pacag.
Hasta que la tecnología se ponga al día con las tácticas en constante cambio de los phishers, los propios usuarios de correo electrónico, especialmente en un entorno corporativo, deben mantener un mayor grado de alerta cuando se trata de mensajes que parecen sospechosos de alguna manera para evitar ser engañados, dijeron los investigadores.
Las formas en que los usuarios pueden hacer esto son verificando que las URL incluidas en los mensajes coincidan con las legítimas de la empresa o el servicio que afirma estar enviándolos; solo hacer clic en enlaces en correos electrónicos que provienen de usuarios de confianza con quienes las personas se han comunicado anteriormente; y consultar con el soporte de TI antes de hacer clic en cualquier enlace incrustado o adjunto en un correo electrónico.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
