Les acteurs malveillants ciblent les utilisateurs d'Instagram dans un nouveau campagne de phishing qui utilise la redirection d'URL pour reprendre des comptes ou voler des informations sensibles qui peuvent être utilisées dans de futures attaques ou être vendues sur le Dark Web.
Comme leurre, la campagne utilise la suggestion selon laquelle les utilisateurs pourraient commettre une violation du droit d'auteur – une grande préoccupation parmi les utilisateurs. influenceurs de médias sociaux, les entreprises et même le titulaire moyen d'un compte sur Instagram, ont révélé des chercheurs de Trustwave SpiderLabs dans une analyse partagé avec Dark Reading le 27 octobre.
Ce type de « phishing pour violation » a également été observé plus tôt cette année, dans le cadre d'une campagne distincte. cibler les utilisateurs de Facebook – une marque également sous la société mère Instagram Meta – avec des e-mails suggérant que les utilisateurs avaient violé les normes de la communauté, ont indiqué les chercheurs.
"Ce thème n'est pas nouveau, et nous l'avons vu de temps en temps au cours de l'année dernière", a écrit Homer Pacag, chercheur en sécurité chez Trustwave SpiderLabs, dans le message. "Il s'agit encore une fois de la même supercherie en matière de violation du droit d'auteur, mais cette fois, les attaquants obtiennent davantage d'informations personnelles auprès de leurs victimes et utilisent des techniques d'évasion pour masquer les URL de phishing."
Cette évasion prend la forme de la redirection d'URL, une tactique émergente parmi les acteurs malveillants qui font évoluer leurs techniques de phishing être plus sournois et plus évasif à mesure que les internautes deviennent plus avertis.
Au lieu de joindre un fichier malveillant sur lequel un utilisateur doit cliquer pour accéder à une page de phishing (ce que beaucoup de gens savent déjà semble suspect), la redirection d'URL inclut dans un message une URL intégrée qui semble légitime mais qui mène finalement à une page malveillante qui vole les informations d'identification. plutôt.
Faux rapport sur les droits d'auteur
La campagne Instagram découverte par les chercheurs commence par un e-mail envoyé à un utilisateur l'informant que des plaintes ont été reçues concernant le compte violant le droit d'auteur et qu'un recours auprès d'Instagram est nécessaire s'il ne veut pas perdre son compte.
N'importe qui peut déposer une rapport du droit d'auteur avec Instagram si le propriétaire du compte découvre que ses photos et vidéos sont utilisées par d'autres utilisateurs d'Instagram – ce qui arrive souvent sur la plateforme de médias sociaux. Les attaquants de la campagne en profitent pour tenter de tromper les victimes afin qu'elles divulguent leurs identifiants d'utilisateur et leurs informations personnelles, a écrit Pacag.
Les e-mails de phishing incluent un bouton avec un lien vers un « formulaire d’appel », informant les utilisateurs qu’ils peuvent cliquer sur le lien pour remplir le formulaire et qu’ils seront ensuite contactés par un représentant d’Instagram.
Les chercheurs ont analysé l'e-mail dans un éditeur de texte et ont découvert que, plutôt que de diriger les utilisateurs vers le site Instagram pour remplir un rapport légitime, il utilisait la redirection d'URL. Plus précisément, le lien utilise une réécriture d'URL ou un redirecteur vers un site appartenant à WhatsApp — hxxps://l[.]wl[.]co/l?u= — suivi de la véritable URL de phishing — hxxps://helperlivesback[. ]ml/5372823 — trouvé dans la partie requête de l'URL, a expliqué Pacag.
"Il s'agit d'une astuce de phishing de plus en plus courante, qui consiste à utiliser des domaines légitimes pour rediriger ainsi vers d'autres URL", a-t-il écrit.
Si un utilisateur clique sur le bouton, il ouvre son navigateur par défaut et le redirige vers la page de phishing prévue, en passant par quelques étapes pour voler les données de l'utilisateur et du mot de passe si la victime donne suite, ont indiqué les chercheurs.
Collecte de données étape par étape
Premièrement, si la victime saisit son nom d’utilisateur, les données sont envoyées au serveur via les paramètres du formulaire « POST », précisent les chercheurs. Un utilisateur est invité à cliquer sur un bouton « Continuer », et si cela est fait, la page affiche le nom d'utilisateur saisi, désormais préfixé par le symbole « @ » typique utilisé pour signifier un nom d'utilisateur Instagram. Ensuite, la page demande un mot de passe qui, s'il est saisi, est également envoyé au serveur contrôlé par l'attaquant, ont indiqué les chercheurs.
C'est à ce stade de l'attaque que les choses s'écartent légèrement d'une page de phishing typique, qui est généralement satisfaite une fois qu'une personne saisit son nom d'utilisateur et son mot de passe dans les champs appropriés, a déclaré Pacag.
Les attaquants de la campagne Instagram ne s'arrêtent pas à cette étape ; au lieu de cela, ils demandent à l'utilisateur de saisir à nouveau son mot de passe, puis de remplir un champ de question demandant dans quelle ville vit la personne. Ces données, comme les autres, sont également renvoyées au serveur via « POST », a expliqué Pacag.
La dernière étape invite l'utilisateur à saisir son numéro de téléphone, que les attaquants peuvent probablement utiliser pour contourner l'authentification à deux facteurs (2FA) si elle est activée sur un compte Instagram, ont indiqué les chercheurs. Les attaquants peuvent également vendre ces informations sur le Dark Web, auquel cas elles peuvent être utilisées pour de futures escroqueries lancées via des appels téléphoniques, ont-ils noté.
Une fois que toutes ces informations personnelles sont collectées par les attaquants, la victime est finalement redirigée vers la page d'aide d'Instagram et le début du processus authentique de signalement des droits d'auteur utilisé pour lancer l'arnaque.
Détection de nouvelles tactiques de phishing
Avec redirection d'URL et autres tactiques plus évasives étant pris par des acteurs malveillants dans des campagnes de phishing, il devient de plus en plus difficile de détecter – tant pour les solutions de sécurité de messagerie que pour les utilisateurs – quels e-mails sont légitimes et lesquels sont le produit d'une intention malveillante, ont déclaré les chercheurs.
"Il peut être difficile pour la plupart des systèmes de détection d'URL d'identifier cette pratique trompeuse, car les URL de phishing prévues sont principalement intégrées dans les paramètres de requête d'URL", a déclaré Pacag.
Jusqu'à ce que la technologie rattrape les tactiques en constante évolution des phishers, les utilisateurs de messagerie eux-mêmes – en particulier dans le cadre d'une entreprise – doivent maintenir un degré d'alerte plus élevé lorsqu'il s'agit de messages qui semblent suspects de quelque manière que ce soit pour éviter d'être trompés, ont déclaré les chercheurs.
Les utilisateurs peuvent y parvenir en vérifiant que les URL incluses dans les messages correspondent à celles légitimes de l'entreprise ou du service qui prétend les envoyer ; en cliquant uniquement sur les liens contenus dans les e-mails provenant d'utilisateurs de confiance avec lesquels les gens ont déjà communiqué ; et vérifiez auprès du support informatique avant de cliquer sur un lien intégré ou joint dans un e-mail.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
