脅威アクターは新しい方法で Instagram ユーザーを標的にしています フィッシングキャンペーン URL リダイレクトを使用してアカウントを乗っ取ったり、将来の攻撃に使用されたり、ダーク Web で販売されたりする可能性のある機密情報を盗みます。
おとりとして、キャンペーンは、ユーザーが著作権侵害を犯している可能性があるという示唆を使用します。 ソーシャルメディアインフルエンサー、企業、さらには Instagram の平均的なアカウント所有者でさえ、Trustwave SpiderLabs の研究者が 分析 27 月 XNUMX 日に Dark Reading と共有。
このタイプの「侵害フィッシング」は、別のキャンペーンで今年初めにも見られました。 Facebookのユーザーをターゲットにする — これも Instagram の親会社である Meta 傘下のブランド — ユーザーがコミュニティの基準に違反したことを示唆する電子メールがあった、と研究者は述べています。
Trustwave SpiderLabs のセキュリティ研究者である Homer Pacag 氏は、「このテーマは新しいものではありません。この XNUMX 年間、時々見てきました。 「これもまた同じ著作権侵害の手口ですが、今回は攻撃者が被害者からより多くの個人情報を取得し、回避技術を使用してフィッシング URL を隠しています。」
その回避は、URL リダイレクトの形で行われます。 フィッシング技術を進化させている インターネットユーザーがより精通するにつれて、よりこっそりと回避するようになります。
ユーザーがフィッシング ページにアクセスするためにクリックしなければならない悪意のあるファイルを添付する代わりに (多くの人がすでに怪しいと思っていることを知っています)、URL リダイレクトはメッセージに埋め込まれた URL を含みます。その代わり。
偽の著作権レポート
研究者が発見した Instagram キャンペーンは、アカウントが著作権を侵害しているという苦情が寄せられていること、およびユーザーがアカウントを失いたくない場合は Instagram に上訴する必要があることを通知する電子メールから始まります。
どなたでも提出できます 著作権のレポート アカウント所有者が自分の写真やビデオが他の Instagram ユーザーによって使用されていることを発見した場合 (ソーシャル メディア プラットフォームではよくあることです)。 キャンペーンの攻撃者はこれを利用して、被害者をだましてユーザーの資格情報と個人情報を提供させようとしている、と Pacag は書いています。
フィッシング メールには、「異議申し立てフォーム」へのリンクを含むボタンが含まれており、リンクをクリックしてフォームに記入すると、後で Instagram の担当者から連絡を受けることをユーザーに通知します。
研究者がテキスト エディタで電子メールを分析したところ、ユーザーを Instagram サイトに誘導して正当なレポートに記入するのではなく、URL リダイレクトを使用していることがわかった。 具体的には、このリンクは、WhatsApp が所有するサイトへの URL リライトまたはリダイレクタ — hxxps://l[.]wl[.]co/l?u= を使用し、その後に真のフィッシング URL — hxxps://helperlivesback[. ]ml/5372823 — URL のクエリ部分にあると Pacag は説明しています。
「これはますます一般的なフィッシングの手口であり、正当なドメインを使用してこの方法で他の URL にリダイレクトします」と彼は書いています。
ユーザーがボタンをクリックすると、デフォルトのブラウザが開き、目的のフィッシング ページにリダイレクトされます。被害者が従うと、最終的にいくつかの手順を経て、ユーザーとパスワードのデータが盗まれます。
段階的なデータ収集
まず、被害者が自分のユーザー名を入力すると、フォームの「POST」パラメーターを介してデータがサーバーに送信される、と研究者は述べています。 ユーザーは [続行] ボタンをクリックするように求められます。これが完了すると、入力したユーザー名がページに表示され、Instagram のユーザー名を示すために使用される一般的な「@」記号が先頭に追加されます。 次に、このページはパスワードを要求し、入力すると、攻撃者が制御するサーバーにも送信されると研究者は述べています。
攻撃のこの時点で、典型的なフィッシング ページとは少し異なります。通常、フィッシング ページは、ユーザーがユーザー名とパスワードを適切なフィールドに入力すると、ページが開きます、と Pacag 氏は述べています。
Instagram キャンペーンの攻撃者は、この段階にとどまりません。 代わりに、ユーザーにパスワードをもう一度入力してから、その人が住んでいる都市を尋ねる質問フィールドに入力するよう求めます。 このデータは、残りのデータと同様に、「POST」を介してサーバーに送り返されます、と Pacag は説明しました。
最後のステップで、ユーザーは電話番号を入力するように求められます。これは、Instagram アカウントで 2 要素認証 (XNUMXFA) が有効になっている場合、攻撃者がこれを使用して、XNUMX 要素認証 (XNUMXFA) をすり抜けられる可能性があると研究者は述べています。 攻撃者は、この情報をダーク Web で販売することもできます。その場合、電話を介して開始される将来の詐欺に使用される可能性があると、彼らは指摘しています。
このすべての個人情報が攻撃者によって収集されると、被害者は最終的に Instagram の実際のヘルプ ページにリダイレクトされ、詐欺を開始するために使用される正規の著作権報告プロセスが開始されます。
新しいフィッシング戦術の検出
URLリダイレクトなどで より回避的な戦術 フィッシング キャンペーンで脅威アクターに利用されているため、電子メール セキュリティ ソリューションとユーザーの両方にとって、どの電子メールが正当で、どの電子メールが悪意の産物であるかを検出するのがますます難しくなっている、と研究者は述べています。
「ほとんどの URL 検出システムが、この欺瞞的な行為を特定することは困難です。意図されたフィッシング URL は、ほとんどが URL クエリ パラメータに埋め込まれているからです」と Pacag 氏は述べています。
絶えず変化するフィッシング詐欺の手口にテクノロジーが追いつくまで、特に企業環境では、電子メール ユーザー自身が、何らかの形で疑わしいと思われるメッセージに対しては、だまされないように、より高いレベルの警戒を維持する必要がある、と研究者は述べています。
ユーザーがこれを行う方法は、メッセージに含まれる URL が、メッセージを送信していると主張する会社またはサービスの正当な URL と一致することを確認することです。 以前に連絡を取り合った信頼できるユーザーからの電子メールのリンクのみをクリックする。 電子メールに埋め込まれているか添付されているリンクをクリックする前に、IT サポートに確認してください。
