Bedreigingsactoren richten zich op Instagram-gebruikers in een nieuwe phishing-campagne die URL-omleiding gebruikt om accounts over te nemen of gevoelige informatie te stelen die kan worden gebruikt bij toekomstige aanvallen of kan worden verkocht op het Dark Web.
Als lokaas gebruikt de campagne een suggestie dat gebruikers mogelijk inbreuk maken op het auteursrecht - een grote zorg onder sociale media beïnvloeders, bedrijven en zelfs de gemiddelde accounthouder op Instagram, onthulden onderzoekers van Trustwave SpiderLabs in analyse gedeeld met Dark Reading op 27 oktober.
Dit type 'infringement phishing' kwam eerder dit jaar ook al voor, in een aparte campagne gericht op gebruikers van Facebook - een merk dat ook onder Instagram-moederbedrijf Meta valt - met e-mails die suggereerden dat gebruikers de gemeenschapsnormen hadden geschonden, aldus de onderzoekers.
"Dit thema is niet nieuw en we hebben het het afgelopen jaar af en toe gezien", schreef Homer Pacag, beveiligingsonderzoeker bij Trustwave SpiderLabs, in de post. "Het is weer dezelfde truc met inbreuk op het auteursrecht, maar deze keer verkrijgen de aanvallers meer persoonlijke informatie van hun slachtoffers en gebruiken ze ontduikingstechnieken om phishing-URL's te verbergen."
Die omzeiling komt in de vorm van URL-omleiding, een opkomende tactiek onder bedreigingsactoren die ontwikkelen hun phishing-technieken om geniepiger en ontwijkender te zijn naarmate internetgebruikers slimmer worden.
In plaats van een kwaadaardig bestand bij te voegen waarop een gebruiker moet klikken om naar een phishing-pagina te gaan - iets waarvan veel mensen al weten dat het verdacht lijkt - neemt URL-omleiding in een bericht een ingesloten URL op die legitiem lijkt, maar die uiteindelijk leidt naar een kwaadwillende pagina die inloggegevens steelt in plaats van.
Vals auteursrechtrapport
De Instagram-campagne die onderzoekers ontdekten, begint met een e-mail aan een gebruiker waarin hij of zij wordt geïnformeerd dat er klachten zijn ontvangen over het account dat inbreuk maakt op het auteursrecht en dat een beroep op Instagram nodig is als de gebruiker het account niet wil verliezen.
Iedereen kan een auteursrechtrapport met Instagram als de accounteigenaar ontdekt dat hun foto's en video's worden gebruikt door andere Instagram-gebruikers - iets dat vaak gebeurt op het socialemediaplatform. Aanvallers in de campagne profiteren hiervan om te proberen slachtoffers te misleiden zodat ze hun gebruikersreferenties en persoonlijke informatie prijsgeven, schreef Pacag.
De phishing-e-mails bevatten een knop met een link naar een 'bezwaarformulier', waarmee gebruikers worden geïnformeerd dat ze op de link kunnen klikken om het formulier in te vullen en dat er later contact met een Instagram-vertegenwoordiger wordt opgenomen.
Onderzoekers analyseerden de e-mail in een teksteditor en ontdekten dat in plaats van gebruikers naar de Instagram-site te leiden om een legitiem rapport in te vullen, het gebruik maakt van URL-omleiding. In het bijzonder gebruikt de link een URL-herschrijving of omleiding naar een site die eigendom is van WhatsApp — hxxps://l[.]wl[.]co/l?u= — gevolgd door de echte phishing-URL — hxxps://helperlivesback[. ]ml/5372823 — gevonden in het zoekgedeelte van de URL, legt Pacag uit.
"Dit is een steeds vaker voorkomende phishing-truc, waarbij legitieme domeinen worden gebruikt om op deze manier om te leiden naar andere URL's", schreef hij.
Als een gebruiker op de knop klikt, wordt zijn of haar standaardbrowser geopend en wordt de gebruiker omgeleid naar de bedoelde phishing-pagina, waarbij hij uiteindelijk een paar stappen doorloopt om gebruikers- en wachtwoordgegevens te stelen als het slachtoffer doorgaat, aldus de onderzoekers.
Stapsgewijze gegevensverzameling
Ten eerste, als het slachtoffer zijn of haar gebruikersnaam invoert, worden de gegevens naar de server verzonden via de "POST" -parameters van het formulier, aldus de onderzoekers. Een gebruiker wordt gevraagd om op de knop "Doorgaan" te klikken en als dit is gebeurd, geeft de pagina de getypte gebruikersnaam weer, nu voorafgegaan door het typische "@" -symbool dat wordt gebruikt om een Instagram-gebruikersnaam aan te duiden. Vervolgens vraagt de pagina om een wachtwoord, dat, indien ingevoerd, ook naar de door de aanvaller gecontroleerde server wordt gestuurd, aldus de onderzoekers.
Het is op dit punt in de aanval dat dingen enigszins afwijken van een typische phishing-pagina, die meestal tevreden is zodra een persoon zijn gebruikersnaam en wachtwoord in de juiste velden invoert, zei Pacag.
De aanvallers in de Instagram-campagne stoppen niet bij deze stap; in plaats daarvan vragen ze de gebruiker om zijn of haar wachtwoord nog een keer in te typen en vervolgens een vragenveld in te vullen waarin wordt gevraagd in welke stad de persoon woont. Deze gegevens worden, net als de rest, ook via "POST" teruggestuurd naar de server, legt Pacag uit.
De laatste stap vraagt de gebruiker om zijn of haar telefoonnummer in te vullen, dat aanvallers vermoedelijk kunnen gebruiken om voorbij tweefactorauthenticatie (2FA) te komen als het is ingeschakeld op een Instagram-account, aldus de onderzoekers. Aanvallers kunnen deze informatie ook op het Dark Web verkopen, in welk geval het kan worden gebruikt voor toekomstige oplichting die via telefoongesprekken wordt gestart, merkten ze op.
Zodra al deze persoonlijke informatie door aanvallers is verzameld, wordt het slachtoffer uiteindelijk omgeleid naar de daadwerkelijke helppagina van Instagram en het begin van het authentieke copyrightrapportageproces dat wordt gebruikt om de zwendel te initiëren.
Nieuwe phishing-tactieken detecteren
Met URL-omleiding en andere meer ontwijkende tactieken Omdat ze worden gebruikt door bedreigingsactoren in phishing-campagnes, wordt het steeds moeilijker om te detecteren - voor zowel e-mailbeveiligingsoplossingen als gebruikers - welke e-mails legitiem zijn en welke het product zijn van kwaadwillende bedoelingen, aldus de onderzoekers.
"Het kan voor de meeste URL-detectiesystemen moeilijk zijn om deze misleidende praktijk te identificeren, aangezien de beoogde phishing-URL's meestal zijn ingebed in de URL-queryparameters", zei Pacag.
Totdat de technologie de voortdurend veranderende tactieken van phishers inhaalt, moeten e-mailgebruikers zelf - vooral in een zakelijke omgeving - meer alert blijven als het gaat om berichten die op enigerlei wijze verdacht lijken om te voorkomen dat ze voor de gek gehouden worden, aldus de onderzoekers.
Manieren waarop gebruikers dit kunnen doen, zijn door te controleren of URL's in berichten overeenkomen met de legitieme URL's van het bedrijf of de dienst die beweert ze te verzenden; alleen klikken op links in e-mails die afkomstig zijn van vertrouwde gebruikers met wie mensen eerder hebben gecommuniceerd; en neem contact op met IT-ondersteuning voordat u op een ingesloten of bijgevoegde link in een e-mail klikt.
