위협 행위자는 새로운 방법으로 Instagram 사용자를 표적으로 삼고 있습니다. 피싱 캠페인 URL 리디렉션을 사용하여 계정을 탈취하거나 향후 공격에 사용되거나 다크 웹에서 판매될 수 있는 민감한 정보를 훔치는 것입니다.
미끼로 캠페인은 사용자가 저작권 침해를 저지르고 있을 수 있다는 제안을 사용합니다. 소셜 미디어 영향력, 기업, 심지어 Instagram의 일반 계정 소유자까지 Trustwave SpiderLabs의 연구원들이 밝혔습니다. 분석 27월 XNUMX일 Dark Reading과 공유되었습니다.
이러한 유형의 '침해 피싱'은 올해 초 별도의 캠페인에서도 발견되었습니다. 페이스북 사용자 타겟팅 — 인스타그램 모회사인 Meta의 브랜드이기도 한 브랜드 — 사용자가 커뮤니티 표준을 위반했음을 암시하는 이메일이 포함되어 있다고 연구원은 말했습니다.
Trustwave SpiderLabs 보안 연구원인 Homer Pacag는 게시물에서 "이 주제는 새로운 것이 아니며 지난 1년 동안 가끔 본 적이 있습니다."라고 썼습니다. “또 똑같은 저작권 침해 수법이지만 이번에는 공격자가 피해자로부터 더 많은 개인정보를 빼내고 회피 기법을 사용해 피싱 URL을 숨깁니다.”
이러한 회피는 위협 행위자들 사이에서 새롭게 떠오르는 전술인 URL 리디렉션의 형태로 이루어집니다. 피싱 기술을 발전시키고 있습니다. 인터넷 사용자가 점점 더 능숙해짐에 따라 더욱 은밀하고 회피적이 되는 것입니다.
사용자가 피싱 페이지에 도달하기 위해 클릭해야 하는 악성 파일을 첨부하는 대신(많은 사람들이 이미 의심스러워 보이는 내용) URL 리디렉션은 합법적인 것처럼 보이지만 궁극적으로 자격 증명을 훔치는 악성 페이지로 연결되는 삽입된 URL을 메시지에 포함합니다. 대신에.
가짜 저작권 신고
연구진이 발견한 인스타그램 캠페인은 저작권을 침해하는 계정에 대한 불만 사항이 접수되었으며, 사용자가 계정을 잃고 싶지 않다면 인스타그램에 항소가 필요하다는 내용을 사용자에게 이메일로 알리는 것으로 시작됩니다.
누구나 신고할 수 있다 저작권 신고 계정 소유자가 다른 Instagram 사용자가 자신의 사진과 동영상을 사용하고 있음을 발견한 경우 Instagram을 사용합니다. 이는 소셜 미디어 플랫폼에서 자주 발생하는 일입니다. 캠페인에 참여하는 공격자들은 이를 이용하여 피해자를 속여 사용자 자격 증명과 개인 정보를 제공하도록 시도하고 있다고 Pacag는 썼습니다.
피싱 이메일에는 '이의 제기 양식' 링크가 포함된 버튼이 포함되어 있어 사용자에게 링크를 클릭하여 양식을 작성할 수 있으며 나중에 Instagram 담당자가 연락할 것임을 알립니다.
연구원들은 텍스트 편집기에서 이메일을 분석한 결과 합법적인 보고서를 작성하기 위해 사용자를 Instagram 사이트로 안내하는 대신 URL 리디렉션을 사용한다는 사실을 발견했습니다. 특히 링크는 WhatsApp이 소유한 사이트(hxxps://l[.]wl[.]co/l?u=)에 대한 URL 재작성 또는 리디렉터를 사용하며 그 뒤에 실제 피싱 URL인 hxxps://helperlivesback[이 옵니다. ]ml/5372823 — URL의 쿼리 부분에서 발견되었다고 Pacag는 설명했습니다.
“이것은 합법적인 도메인을 사용하여 이러한 방식으로 다른 URL로 리디렉션하는 피싱 수법이 점점 더 일반화되고 있습니다.”라고 그는 썼습니다.
사용자가 버튼을 클릭하면 기본 브라우저가 열리고 의도한 피싱 페이지로 사용자가 리디렉션되며, 피해자가 따라오면 궁극적으로 사용자 및 비밀번호 데이터를 훔치기 위해 몇 가지 단계를 거칩니다.
단계별 데이터 수집
첫째, 피해자가 자신의 사용자 이름을 입력하면 데이터가 'POST' 매개변수 형식을 통해 서버로 전송된다고 연구진은 말했습니다. 사용자에게 '계속' 버튼을 클릭하라는 메시지가 표시되고, 이 버튼을 클릭하면 페이지에 입력한 사용자 이름이 표시됩니다. 이제 Instagram 사용자 이름을 나타내는 데 사용되는 일반적인 '@' 기호가 앞에 붙습니다. 그런 다음 페이지에서 비밀번호를 요청하는데, 비밀번호를 입력하면 공격자가 제어하는 서버로도 전송된다고 연구진은 말했습니다.
Pacag는 공격의 이 시점에서 전형적인 피싱 페이지와 약간 다른 점이 있다고 말했습니다. 이는 일반적으로 사용자가 적절한 필드에 사용자 이름과 비밀번호를 입력하면 만족된다고 Pacag는 말했습니다.
Instagram 캠페인의 공격자는 이 단계에서 멈추지 않습니다. 대신에 그들은 사용자에게 비밀번호를 한 번 더 입력하도록 요청한 다음 그 사람이 어느 도시에 살고 있는지 묻는 질문 필드를 작성합니다. 나머지 데이터와 마찬가지로 이 데이터도 "POST"를 통해 서버로 다시 전송된다고 Pacag는 설명했습니다.
마지막 단계에서는 사용자에게 자신의 전화번호를 입력하라는 메시지가 표시되는데, 인스타그램 계정에서 활성화된 2단계 인증(XNUMXFA)을 통과하는 데 공격자가 사용할 수 있는 것으로 추정됩니다. 공격자는 또한 다크 웹에서 이 정보를 판매할 수 있으며, 이 경우 전화 통화를 통해 시작되는 향후 사기에 사용될 수 있다고 그들은 지적했습니다.
공격자가 이 모든 개인 정보를 수집하면 피해자는 마침내 Instagram의 실제 도움말 페이지로 리디렉션되고 사기를 시작하는 데 사용되는 실제 저작권 신고 프로세스가 시작됩니다.
새로운 피싱 전술 탐지
URL 리디렉션 및 기타 더 회피적인 전술 연구원들은 피싱 캠페인에서 위협 행위자에 의해 공격을 받으면 이메일 보안 솔루션과 사용자 모두에게 어떤 이메일이 합법적인지, 어떤 이메일이 악의적인 의도의 산물인지 탐지하기가 점점 더 어려워지고 있다고 말했습니다.
Pacag는 "의도된 피싱 URL이 대부분 URL 쿼리 매개변수에 포함되어 있기 때문에 대부분의 URL 탐지 시스템이 이러한 사기 행위를 식별하기 어려울 수 있습니다"라고 말했습니다.
기술이 끊임없이 변화하는 피싱 수법을 따라잡을 때까지, 특히 기업 환경에서 이메일 사용자 자신은 속지 않기 위해 어떤 식으로든 의심스러워 보이는 메시지에 대해 더 높은 수준의 경계를 유지해야 한다고 연구원들은 말했습니다.
사용자가 이를 수행할 수 있는 방법은 메시지에 포함된 URL이 메시지를 보낸다고 주장하는 회사 또는 서비스의 합법적인 URL과 일치하는지 확인하는 것입니다. 이전에 사람들과 소통한 적이 있는 신뢰할 수 있는 사용자가 보낸 이메일의 링크만 클릭합니다. 이메일에 포함되거나 첨부된 링크를 클릭하기 전에 IT 지원팀에 문의하세요.
