مهاجمان سایبری کاربران اینستاگرام را با تهدید نقض حق چاپ هدف قرار می دهند

بازیگران تهدید در اقدامی جدید کاربران اینستاگرام را هدف قرار داده اند کمپین فیشینگ که از تغییر مسیر URL برای کنترل حساب ها یا سرقت اطلاعات حساس استفاده می کند که می تواند در حملات آینده استفاده شود یا در Dark Web فروخته شود.

به عنوان یک فریب، این کمپین از پیشنهادی استفاده می‌کند مبنی بر اینکه کاربران ممکن است مرتکب نقض حق نسخه‌برداری شوند - یک نگرانی بزرگ در میان تأثیرگذار در رسانه های اجتماعیمحققان از Trustwave SpiderLabs نشان دادند، مشاغل و حتی دارندگان حساب متوسط ​​در اینستاگرام تجزیه و تحلیل در 27 اکتبر با دارک ریدینگ به اشتراک گذاشته شد.

این نوع «فیشینگ تخلف» در اوایل سال جاری نیز در کمپین جداگانه‌ای مشاهده شد هدف قرار دادن کاربران فیسبوک پژوهشگران گفتند: برندی که تحت شرکت مادر اینستاگرام Meta نیز قرار دارد.

هومر پکاگ، محقق امنیتی Trustwave SpiderLabs، در این پست نوشت: «این موضوع جدید نیست، و ما هر از چند گاهی آن را در سال گذشته دیده‌ایم. "این دوباره همان حقه های نقض حق چاپ است، اما این بار، مهاجمان اطلاعات شخصی بیشتری از قربانیان خود به دست می آورند و از تکنیک های فرار برای پنهان کردن URL های فیشینگ استفاده می کنند."

این فرار به شکل تغییر مسیر URL است، یک تاکتیک نوظهور در میان عوامل تهدید در حال توسعه تکنیک های فیشینگ خود هستند به عنوان زیرک تر و گریزان تر به عنوان کاربران اینترنت باهوش تر.

به جای پیوست کردن یک فایل مخرب که کاربر باید روی آن کلیک کند تا به یک صفحه فیشینگ برسد — چیزی که بسیاری از افراد قبلاً می‌دانند مشکوک به نظر می‌رسد —  تغییر مسیر URL در پیامی شامل یک URL جاسازی شده است که قانونی به نظر می‌رسد اما در نهایت منجر به صفحه مخربی می‌شود که اعتبارنامه‌ها را می‌دزدد. بجای.

گزارش کپی رایت جعلی

کمپین اینستاگرامی که محققان کشف کردند با ایمیلی به کاربر شروع می‌شود که به او اطلاع می‌دهد که شکایت‌هایی در مورد نقض حق نسخه‌برداری حساب دریافت شده است، و اگر کاربر نمی‌خواهد حساب را از دست بدهد، درخواست تجدیدنظر در اینستاگرام ضروری است.

هر کسی می تواند یک فایل را ثبت کند گزارش کپی رایت با اینستاگرام اگر مالک حساب متوجه شود که عکس‌ها و ویدیوهایش توسط سایر کاربران اینستاگرام استفاده می‌شود — چیزی که اغلب در پلتفرم رسانه‌های اجتماعی اتفاق می‌افتد. Pacag نوشت، مهاجمان در کمپین از این سوء استفاده می‌کنند و سعی می‌کنند قربانیان را فریب دهند تا اعتبار کاربری و اطلاعات شخصی خود را در اختیارشان بگذارند.

ایمیل‌های فیشینگ شامل دکمه‌ای با پیوند به «فرم تجدیدنظر» است که به کاربران اطلاع می‌دهد می‌توانند روی پیوند برای پر کردن فرم کلیک کنند و بعداً نماینده اینستاگرام با آنها تماس خواهد گرفت.

محققان ایمیل را در یک ویرایشگر متن تجزیه و تحلیل کردند و دریافتند که به جای هدایت کاربران به سایت اینستاگرام برای پر کردن یک گزارش قانونی، از تغییر مسیر URL استفاده می کند. به طور خاص، این پیوند از یک URL بازنویسی یا تغییر مسیر به سایتی که متعلق به WhatsApp است استفاده می کند — hxxps://l[.]wl[.]co/l?u= — به دنبال آن نشانی اینترنتی فیشینگ واقعی — hxxps://helperlivesback[. Pacag توضیح داد: ]ml/5372823 — در قسمت جستجوی URL یافت می‌شود.

او نوشت: «این یک ترفند فیشینگ رایج‌تر است که از دامنه‌های قانونی برای تغییر مسیر به آدرس‌های اینترنتی دیگر به این روش استفاده می‌کند.

به گفته محققان، اگر کاربر روی دکمه کلیک کند، مرورگر پیش‌فرض خود را باز می‌کند و کاربر را به صفحه فیشینگ مورد نظر هدایت می‌کند و در نهایت چند مرحله را طی می‌کند تا در صورت پیگیری قربانی، داده‌های کاربر و رمز عبور را بدزدد.

برداشت گام به گام داده ها

به گفته محققان، ابتدا، اگر قربانی نام کاربری خود را وارد کند، داده ها از طریق پارامترهای فرم "POST" به سرور ارسال می شود. از کاربر خواسته می‌شود روی دکمه «ادامه» کلیک کند، و اگر این کار انجام شد، صفحه نام کاربری تایپ‌شده را نشان می‌دهد که اکنون با علامت «@» معمولی که برای نشان دادن نام کاربری اینستاگرام استفاده می‌شود، پیشوند شده است. محققان گفتند، سپس صفحه یک رمز عبور می‌خواهد، که در صورت وارد کردن، به سرور تحت کنترل مهاجم نیز ارسال می‌شود.

Pacag گفت، در این مرحله از حمله است که چیزها کمی از یک صفحه فیشینگ معمولی منحرف می شوند، که معمولاً زمانی که شخص نام کاربری و رمز عبور خود را در فیلدهای مناسب وارد می کند، ارضا می شود.

مهاجمان در کمپین اینستاگرام در این مرحله متوقف نمی شوند. در عوض، آنها از کاربر می خواهند یک بار دیگر رمز عبور خود را تایپ کند و سپس یک فیلد سؤال را پر کند و بپرسد که فرد در کدام شهر زندگی می کند. Pacag توضیح داد که این داده ها، مانند بقیه، از طریق "POST" به سرور بازگردانده می شوند.

به گفته محققان، آخرین مرحله از کاربر می‌خواهد شماره تلفن خود را پر کند، که احتمالاً مهاجمان می‌توانند از آن برای عبور از احراز هویت دو مرحله‌ای (2FA) استفاده کنند، اگر این شماره در حساب اینستاگرام فعال باشد. آنها خاطرنشان کردند که مهاجمان همچنین می توانند این اطلاعات را در دارک وب بفروشند، در این صورت می توان از آن برای کلاهبرداری های بعدی که از طریق تماس های تلفنی آغاز می شود استفاده کرد.

هنگامی که تمام این اطلاعات شخصی توسط مهاجمان جمع آوری می شود، قربانی در نهایت به صفحه کمک واقعی اینستاگرام هدایت می شود و شروع فرآیند گزارش دهی معتبر حق چاپ که برای شروع کلاهبرداری استفاده می شود.

شناسایی تاکتیک های جدید فیشینگ

با تغییر مسیر URL و موارد دیگر تاکتیک های فراری تر محققان گفتند که توسط بازیگران تهدید در کمپین‌های فیشینگ گرفته می‌شود، تشخیص این که چه برای راه‌حل‌های امنیتی ایمیل و چه برای کاربران به‌طور یکسان، سخت‌تر می‌شود.

Pacag گفت: "شناسایی این روش فریبنده برای اکثر سیستم های تشخیص URL می تواند دشوار باشد، زیرا URL های فیشینگ مورد نظر عمدتا در پارامترهای جستجوی URL تعبیه شده اند."

به گفته محققان، تا زمانی که فناوری با تاکتیک‌های دائماً در حال تغییر فیشرها مطابقت نداشته باشد، خود کاربران ایمیل - به خصوص در یک محیط شرکتی - باید در هنگام پیام‌هایی که به هر نحوی مشکوک به نظر می‌رسند، هشدار بیشتری داشته باشند تا فریب نخورند.

راه هایی که کاربران می توانند این کار را انجام دهند این است که بررسی کنند URL های موجود در پیام ها با آدرس های قانونی شرکت یا سرویسی که ادعا می کند آنها را ارسال می کند مطابقت دارد. فقط روی پیوندهایی در ایمیل‌هایی که از کاربران قابل اعتمادی که قبلاً افراد با آنها ارتباط برقرار کرده‌اند کلیک کنید. و قبل از کلیک بر روی هر پیوند تعبیه شده یا پیوست شده در ایمیل، با پشتیبانی IT چک کنید.