Trusselaktører retter seg mot Instagram-brukere i en ny phishing-kampanje som bruker URL-omdirigering for å overta kontoer, eller stjele sensitiv informasjon som kan brukes i fremtidige angrep eller selges på Dark Web.
Som et lokkemiddel bruker kampanjen et forslag om at brukere kan begå brudd på opphavsretten – en stor bekymring blant påvirkere fra sosiale medier, bedrifter og til og med den gjennomsnittlige kontoinnehaveren på Instagram, avslørte forskere fra Trustwave SpiderLabs en analyse delt med Dark Reading 27. oktober.
Denne typen "fradragsfisking" ble også sett tidligere i år, i en egen kampanje retter seg mot brukere av Facebook - en merkevare også under Instagram-morselskapet Meta - med e-poster som antyder at brukere har brutt fellesskapsstandarder, sa forskerne.
"Dette temaet er ikke nytt, og vi har sett det fra tid til annen det siste året," skrev Homer Pacag, Trustwave SpiderLabs sikkerhetsforsker, i innlegget. "Det er det samme trikset for brudd på opphavsrett igjen, men denne gangen får angriperne mer personlig informasjon fra ofrene sine og bruker unnvikelsesteknikker for å skjule nettfisking-URLer."
Den unndragelsen kommer i form av URL-omdirigering, en ny taktikk blant trusselaktører som utvikler phishing-teknikkene sine å være sneigere og mer unnvikende ettersom internettbrukere blir mer kunnskapsrike.
I stedet for å legge ved en ondsinnet fil som en bruker må klikke på for å komme til en phishing-side – noe som mange allerede vet virker mistenkelig – inkluderer URL-omdirigering i en melding en innebygd URL som virker legitim, men som til slutt fører til en ondsinnet side som stjeler legitimasjon i stedet.
Falsk opphavsrettsrapport
Instagram-kampanjen som forskere oppdaget begynner med en e-post til en bruker som varsler ham eller henne om at det ble mottatt klager på at kontoen krenker opphavsretten, og at en appell til Instagram er nødvendig hvis brukeren ikke vil miste kontoen.
Hvem som helst kan sende inn en copyright rapport med Instagram hvis kontoeieren oppdager at bildene og videoene deres blir brukt av andre Instagram-brukere - noe som ofte skjer på den sosiale medieplattformen. Angripere i kampanjen utnytter dette for å prøve å lure ofre til å gi fra seg brukerlegitimasjon og personlig informasjon, skrev Pacag.
Phishing-e-postene inkluderer en knapp med en lenke til et "ankeskjema", som informerer brukerne om at de kan klikke på lenken for å fylle ut skjemaet og senere vil bli kontaktet av en Instagram-representant.
Forskere analyserte e-posten i et tekstredigeringsprogram og fant ut at i stedet for å lede brukere til Instagram-siden for å fylle ut en legitim rapport, bruker den URL-omdirigering. Nærmere bestemt bruker lenken en URL-omskriving eller omdirigering til et nettsted som eies av WhatsApp — hxxps://l[.]wl[.]co/l?u= — etterfulgt av den sanne phishing-URLen — hxxps://helperlivesback[. ]ml/5372823 — funnet i spørringsdelen av URL-en, forklarte Pacag.
"Dette er et stadig mer vanlig phishing-triks som bruker legitime domener for å omdirigere til andre URL-er på denne måten," skrev han.
Hvis en bruker klikker på knappen, åpner den standardnettleseren hans eller hennes og omdirigerer brukeren til den tiltenkte phishing-siden, og går gjennom noen få trinn til slutt for å stjele bruker- og passorddata hvis offeret følger med, sa forskerne.
Trinn-for-trinn datainnsamling
For det første, hvis offeret skriver inn brukernavnet hans, sendes dataene til serveren via skjemaet "POST" -parametere, sa forskerne. En bruker blir bedt om å klikke på en "Fortsett"-knapp, og hvis dette gjøres, viser siden det innskrevne brukernavnet, nå prefikset med det typiske "@"-symbolet som brukes til å betegne et Instagram-brukernavn. Deretter ber siden om et passord, som, hvis det skrives inn, også sendes til den angriperkontrollerte serveren, sa forskerne.
Det er på dette tidspunktet i angrepet hvor ting avviker litt fra en typisk phishing-side, som vanligvis er fornøyd når en person skriver inn brukernavnet og passordet sitt i de aktuelle feltene, sa Pacag.
Angriperne i Instagram-kampanjen stopper ikke ved dette trinnet; i stedet ber de brukeren om å skrive inn passordet sitt en gang til og deretter fylle ut et spørsmålsfelt som spør i hvilken by personen bor. Disse dataene, som resten, sendes også tilbake til serveren via "POST," forklarte Pacag.
Det siste trinnet ber brukeren om å fylle inn telefonnummeret sitt, som angripere antagelig kan bruke for å komme forbi tofaktorautentisering (2FA) hvis det er aktivert på en Instagram-konto, sa forskerne. Angripere kan også selge denne informasjonen på Dark Web, i så fall kan den brukes til fremtidige svindel som starter via telefonsamtaler, bemerket de.
Når all denne personlige informasjonen er høstet av angripere, blir offeret til slutt omdirigert til Instagrams faktiske hjelpeside og begynnelsen av den autentiske opphavsrettsrapporteringsprosessen som ble brukt for å starte svindelen.
Oppdager nye phishing-taktikker
Med URL-omdirigering og annet mer unnvikende taktikk blir tatt av trusselaktører i phishing-kampanjer, blir det vanskeligere å oppdage – for både e-postsikkerhetsløsninger og brukere – hvilke e-poster som er legitime og hvilke som er et produkt av ondsinnet hensikt, sa forskerne.
"Det kan være vanskelig for de fleste URL-deteksjonssystemer å identifisere denne villedende praksisen, siden de tiltenkte nettfisking-URLene er innebygd hovedsakelig i URL-søkeparametrene," sa Pacag.
Inntil teknologien tar igjen taktikken til phishere som stadig endrer seg, må e-postbrukere selv – spesielt i bedriftsmiljøer – opprettholde en høyere grad av varsling når det kommer til meldinger som virker mistenkelige på noen måte for å unngå å bli lurt, sa forskerne.
Måter brukere kan gjøre dette på, er ved å sjekke at URL-er som er inkludert i meldinger samsvarer med de legitime til selskapet eller tjenesten som hevder å sende dem; bare å klikke på lenker i e-poster som kommer fra pålitelige brukere som folk har kommunisert med tidligere; og sjekk med IT-støtte før du klikker på en innebygd eller vedlagt lenke i en e-post.
