שחקני איומים מכוונים למשתמשי אינסטגרם בחדש קמפיין דיוג שמשתמש בהפניית כתובת URL כדי להשתלט על חשבונות, או לגנוב מידע רגיש שניתן להשתמש בו בהתקפות עתידיות או להימכר ברשת האפלה.
בתור פיתוי, הקמפיין משתמש בהצעה שמשתמשים עשויים לבצע הפרת זכויות יוצרים - דאגה גדולה בקרב משפיעים על המדיה החברתית, עסקים ואפילו בעל חשבון ממוצע באינסטגרם, חשפו חוקרים מ-Trustwave SpiderLabs ניתוח שותף עם Dark Reading ב-27 באוקטובר.
סוג זה של "דיוג בהפרה" נראה גם מוקדם יותר השנה, בקמפיין נפרד מיקוד למשתמשי פייסבוק - מותג גם תחת חברת האם Meta של אינסטגרם — עם אימיילים המצביעים על כך שמשתמשים הפרו את הסטנדרטים הקהילתיים, אמרו החוקרים.
"הנושא הזה אינו חדש, וראינו אותו מעת לעת במהלך השנה האחרונה", כתב הומר פאקג, חוקר האבטחה של Trustwave SpiderLabs, בפוסט. "זו שוב אותה תחבולה של הפרת זכויות יוצרים, אבל הפעם, התוקפים משיגים יותר מידע אישי מהקורבנות שלהם ומשתמשים בטכניקות התחמקות כדי להסתיר כתובות דיוג".
ההתחמקות מגיעה בצורה של הפניית כתובת URL, טקטיקה מתהווה בקרב גורמי איומים מפתחים את טכניקות ההתחזות שלהם להיות ערמומי וחמקמק יותר ככל שמשתמשי האינטרנט מתמצאים יותר.
במקום לצרף קובץ זדוני שמשתמש צריך ללחוץ עליו כדי להגיע לדף פישינג — דבר שרבים כבר יודעים שנראה חשוד — הפניה מחדש של כתובת האתר כוללת בהודעה כתובת URL מוטבעת שנראית לגיטימית אך בסופו של דבר מובילה לדף זדוני שגונב אישורים במקום זאת.
דוח זכויות יוצרים מזויף
קמפיין האינסטגרם שגילו חוקרים מתחיל במייל למשתמש המודיע לו שהתקבלו תלונות על החשבון שמפר זכויות יוצרים, ושיש צורך בפנייה לאינסטגרם אם המשתמש לא רוצה לאבד את החשבון.
כל אחד יכול להגיש א דוח זכויות יוצרים עם אינסטגרם אם בעל החשבון מגלה שהתמונות והסרטונים שלו נמצאים בשימוש על ידי משתמשי אינסטגרם אחרים — משהו שקורה לעתים קרובות בפלטפורמת המדיה החברתית. התוקפים בקמפיין מנצלים זאת כדי לנסות להערים על קורבנות למסור את אישורי המשתמש והמידע האישי שלהם, כתב Pacag.
הודעות האימייל התחזות כוללות כפתור עם קישור ל"טופס ערעורים", המודיע למשתמשים שהם יכולים ללחוץ על הקישור כדי למלא את הטופס ובהמשך יצור קשר עם נציג אינסטגרם.
חוקרים ניתחו את המייל בעורך טקסט ומצאו שבמקום להפנות משתמשים לאתר אינסטגרם כדי למלא דוח לגיטימי, הוא משתמש בהפניה מחדש של כתובת האתר. באופן ספציפי, הקישור משתמש בשכתוב כתובת URL או בניתוב מחדש לאתר שבבעלות WhatsApp — hxxps://l[.]wl[.]co/l?u= — אחריו כתובת ה-phishing האמיתית — hxxps://helperlivesback[. ]ml/5372823 — נמצא בחלק השאילתה של כתובת האתר, הסביר Pacag.
"זהו טריק דיוג נפוץ יותר ויותר, המשתמש בדומיינים לגיטימיים כדי להפנות לכתובות URL אחרות בצורה זו", כתב.
אם משתמש לוחץ על הכפתור, הוא פותח את דפדפן ברירת המחדל שלו ומפנה את המשתמש לדף ההתחזות המיועד, תוך שהוא עובר כמה שלבים בסופו של דבר כדי לגנוב נתוני משתמש וסיסמה אם הקורבן ימשיך, אמרו החוקרים.
איסוף נתונים שלב אחר שלב
ראשית, אם הקורבן מזין את שם המשתמש שלו, הנתונים נשלחים לשרת באמצעות הטופס "POST", אמרו החוקרים. משתמש מתבקש ללחוץ על כפתור "המשך", ואם זה נעשה, הדף מציג את שם המשתמש שהוקלד, כעת עם קידומת הסמל הטיפוסי "@" המשמש לסימון שם משתמש באינסטגרם. לאחר מכן, הדף מבקש סיסמה, שאם הוזנה, היא גם נשלחת לשרת הנשלט על ידי התוקף, אמרו החוקרים.
זה בשלב זה של המתקפה שבו הדברים חורגים מעט מדף דיוג טיפוסי, שבדרך כלל מסתפק ברגע שאדם מזין את שם המשתמש והסיסמה שלו בשדות המתאימים, אמר Pacag.
התוקפים בקמפיין האינסטגרם לא עוצרים בשלב הזה; במקום זאת, הם מבקשים מהמשתמש להקליד את הסיסמה שלו פעם נוספת ולאחר מכן למלא שדה שאלה ששואל באיזו עיר האדם גר. נתונים אלה, כמו השאר, נשלחים בחזרה לשרת באמצעות "POST", הסביר Pacag.
השלב האחרון מנחה את המשתמש למלא את מספר הטלפון שלו, שבו ככל הנראה התוקפים יכולים להשתמש כדי לעבור את האימות הדו-גורמי (2FA) אם זה מופעל בחשבון אינסטגרם, אמרו החוקרים. תוקפים יכולים גם למכור את המידע הזה ברשת האפלה, ובמקרה זה ניתן להשתמש בו עבור הונאות עתידיות שמתחילות באמצעות שיחות טלפון, הם ציינו.
לאחר שכל המידע האישי הזה נאסף על ידי תוקפים, הקורבן מופנה לבסוף לדף העזרה בפועל של אינסטגרם ולתחילת תהליך הדיווח האותנטי של זכויות יוצרים המשמש לתחילת ההונאה.
זיהוי טקטיקות דיוג חדשות
עם הפניית כתובת URL ועוד טקטיקות מתחמקות יותר נלקחים על ידי גורמי איומים בקמפיינים דיוגים, זה נהיה קשה יותר לזהות — גם עבור פתרונות אבטחת אימייל וגם עבור משתמשים – אילו מיילים לגיטימיים ואילו הם תוצר של כוונות זדוניות, אמרו החוקרים.
"זה יכול להיות קשה לרוב מערכות זיהוי כתובות אתרים לזהות את הנוהג המטעה הזה, מכיוון שכתובות האתרים המיועדות להתחזות מוטמעות בעיקר בפרמטרים של שאילתת כתובות האתרים", אמר Pacag.
עד שהטכנולוגיה תשיג את הטקטיקות המשתנות ללא הרף של phishers, משתמשי האימייל עצמם — במיוחד בסביבה ארגונית— צריכים לשמור על דרגת התראה גבוהה יותר בכל הנוגע להודעות שנראות חשודות בכל דרך כדי להימנע מהולכת שולל, אמרו החוקרים.
דרכים שמשתמשים יכולים לעשות זאת הן על ידי בדיקה שכתובות האתרים הנכללות בהודעות תואמות לאלו הלגיטימיות של החברה או השירות שטוענים שהם שולחים אותן; רק לחיצה על קישורים במיילים שמגיעים ממשתמשים מהימנים שאיתם אנשים תקשרו בעבר; ובדיקה עם תמיכת IT לפני לחיצה על כל קישור מוטבע או מצורף באימייל.
