Pelaku ancaman menyasar pengguna Instagram secara baru kampanye phishing yang menggunakan pengalihan URL untuk mengambil alih akun, atau mencuri informasi sensitif yang dapat digunakan dalam serangan di masa mendatang atau dijual di Web Gelap.
Sebagai iming-iming, kampanye tersebut menggunakan saran bahwa pengguna mungkin melakukan pelanggaran hak cipta — yang sangat memprihatinkan influencer media sosial, bisnis, dan bahkan pemegang akun rata-rata di Instagram, ungkap peneliti dari Trustwave SpiderLabs analisis dibagikan dengan Dark Reading pada 27 Oktober.
Jenis "phishing pelanggaran" ini juga terlihat awal tahun ini, dalam kampanye terpisah menargetkan pengguna Facebook – merek yang juga berada di bawah perusahaan induk Instagram Meta – dengan email yang menyarankan pengguna telah melanggar standar komunitas, kata para peneliti.
“Tema ini bukanlah hal baru, dan kami telah melihatnya dari waktu ke waktu selama setahun terakhir,” tulis Homer Pacag, peneliti keamanan Trustwave SpiderLabs, dalam postingan tersebut. “Ini adalah tipuan pelanggaran hak cipta yang sama lagi, tetapi kali ini, penyerang mendapatkan lebih banyak informasi pribadi dari korbannya dan menggunakan teknik penghindaran untuk menyembunyikan URL phishing.”
Penghindaran itu datang dalam bentuk pengalihan URL, taktik yang muncul di antara pelaku ancaman yang mengembangkan teknik phishing mereka menjadi lebih licik dan lebih mengelak saat pengguna internet menjadi lebih cerdas.
Alih-alih melampirkan file berbahaya yang harus diklik pengguna untuk membuka halaman phishing — sesuatu yang sudah diketahui banyak orang tampaknya mencurigakan — pengalihan URL menyertakan URL tersemat dalam pesan yang tampak sah tetapi pada akhirnya mengarah ke halaman jahat yang mencuri kredensial alih-alih.
Laporan Hak Cipta Palsu
Kampanye Instagram yang ditemukan peneliti dimulai dengan email ke pengguna yang memberi tahu dia bahwa keluhan diterima tentang akun yang melanggar hak cipta, dan bahwa banding ke Instagram diperlukan jika pengguna tidak ingin kehilangan akun.
Siapapun dapat mengajukan a laporan hak cipta dengan Instagram jika pemilik akun menemukan bahwa foto dan videonya digunakan oleh pengguna Instagram lain — sesuatu yang sering terjadi di platform media sosial. Penyerang dalam kampanye memanfaatkan ini untuk mencoba mengelabui korban agar memberikan kredensial pengguna dan informasi pribadi mereka, tulis Pacag.
Email phishing menyertakan tombol dengan tautan ke "formulir banding", yang memberi tahu pengguna bahwa mereka dapat mengeklik tautan untuk mengisi formulir dan nantinya akan dihubungi oleh perwakilan Instagram.
Peneliti menganalisis email dalam editor teks dan menemukan bahwa alih-alih mengarahkan pengguna ke situs Instagram untuk mengisi laporan yang sah, itu menggunakan pengalihan URL. Secara khusus, tautan tersebut menggunakan penulisan ulang URL atau pengalihan ke situs milik WhatsApp — hxxps://l[.]wl[.]co/l?u= — diikuti dengan URL phishing yang sebenarnya — hxxps://helperlivesback[. ]ml/5372823 — ditemukan di bagian kueri URL, Pacag menjelaskan.
“Ini adalah trik phishing yang semakin umum, menggunakan domain yang sah untuk dialihkan ke URL lain dengan cara ini,” tulisnya.
Jika pengguna mengklik tombol tersebut, browser bawaannya akan terbuka dan mengarahkan pengguna ke halaman phishing yang dimaksud, melalui beberapa langkah pada akhirnya untuk mencuri data pengguna dan kata sandi jika korban mengikutinya, kata para peneliti.
Pengambilan Data Langkah-demi-Langkah
Pertama, jika korban memasukkan nama penggunanya, data dikirim ke server melalui parameter form "POST", kata para peneliti. Seorang pengguna diminta untuk mengklik tombol "Lanjutkan", dan jika ini selesai, halaman menampilkan nama pengguna yang diketik, sekarang diawali dengan simbol "@" yang biasa digunakan untuk menandakan nama pengguna Instagram. Kemudian halaman tersebut meminta kata sandi, yang jika dimasukkan, juga dikirim ke server yang dikendalikan penyerang, kata para peneliti.
Pada titik serangan inilah hal-hal sedikit menyimpang dari halaman phishing pada umumnya, yang biasanya terpenuhi begitu seseorang memasukkan nama pengguna dan kata sandi mereka ke bidang yang sesuai, kata Pacag.
Penyerang dalam kampanye Instagram tidak berhenti di langkah ini; sebaliknya, mereka meminta pengguna untuk mengetik kata sandinya sekali lagi dan kemudian mengisi kolom pertanyaan yang menanyakan di kota mana orang tersebut tinggal. Data ini, seperti yang lainnya, juga dikirim kembali ke server melalui “POST,” jelas Pacag.
Langkah terakhir meminta pengguna untuk mengisi nomor teleponnya, yang mungkin dapat digunakan penyerang untuk melewati otentikasi dua faktor (2FA) jika diaktifkan di akun Instagram, kata para peneliti. Penyerang juga dapat menjual informasi ini di Web Gelap, dalam hal ini dapat digunakan untuk penipuan di masa mendatang yang dilakukan melalui panggilan telepon, catat mereka.
Setelah semua info pribadi ini diambil oleh penyerang, korban akhirnya dialihkan ke halaman bantuan Instagram yang sebenarnya dan awal dari proses pelaporan hak cipta asli yang digunakan untuk memulai penipuan.
Mendeteksi Taktik Phishing Baru
Dengan pengalihan URL dan lainnya taktik yang lebih mengelak diambil oleh pelaku ancaman dalam kampanye phishing, semakin sulit untuk dideteksi - baik untuk solusi keamanan email maupun pengguna - email mana yang sah dan mana yang merupakan produk dari niat jahat, kata para peneliti.
“Mungkin sulit bagi sebagian besar sistem deteksi URL untuk mengidentifikasi praktik penipuan ini, karena URL phishing yang dimaksud sebagian besar disematkan dalam parameter kueri URL,” kata Pacag.
Sampai teknologi mengejar taktik phisher yang terus berubah, pengguna email itu sendiri - terutama dalam pengaturan perusahaan - perlu mempertahankan tingkat kewaspadaan yang lebih tinggi ketika datang ke pesan yang tampak mencurigakan dengan cara apa pun untuk menghindari tertipu, kata para peneliti.
Cara yang dapat dilakukan pengguna adalah dengan memeriksa apakah URL yang disertakan dalam pesan cocok dengan yang sah dari perusahaan atau layanan yang mengklaim mengirimnya; hanya mengklik tautan di email yang berasal dari pengguna tepercaya yang pernah berkomunikasi dengan orang sebelumnya; dan memeriksa dengan dukungan TI sebelum mengeklik tautan yang disematkan atau dilampirkan di email.
