Cyberatakujący atakują użytkowników Instagrama groźbą naruszenia praw autorskich

Ugrupowania zagrażające w nowy sposób atakują użytkowników Instagrama kampania phishingowa który wykorzystuje przekierowania adresów URL do przejmowania kont lub kradzieży poufnych informacji, które można wykorzystać w przyszłych atakach lub sprzedać w Dark Web.

Jako przynętę w kampanii wykorzystuje się sugestię, że użytkownicy mogą naruszać prawa autorskie, co budzi duże obawy wśród użytkowników osoby wpływające na media społecznościowe, firmy, a nawet przeciętny posiadacz konta na Instagramie – ujawnili badacze z Trustwave SpiderLabs analiza udostępniony Dark Reading 27 października.

Ten rodzaj „phishingu polegającego na naruszeniu zasad” zaobserwowano również na początku tego roku w ramach osobnej kampanii targetowanie użytkowników Facebooka – marki należącej również do spółki-matki Instagrama Meta – z e-mailami sugerującymi, że użytkownicy naruszyli standardy społeczności – twierdzą badacze.

„Ten temat nie jest nowy i w ciągu ostatniego roku widzieliśmy go od czasu do czasu” – napisał w poście Homer Pacag, badacz bezpieczeństwa Trustwave SpiderLabs. „To znowu ten sam trik związany z naruszeniem praw autorskich, ale tym razem napastnicy zdobywają od swoich ofiar więcej danych osobowych i wykorzystują techniki unikania, aby ukryć adresy URL phishingowe”.

To unikanie ma formę przekierowania adresu URL – nowej taktyki wśród cyberprzestępców, którzy rozwijają swoje techniki phishingu być bardziej podstępni i bardziej wymijający, w miarę jak użytkownicy Internetu będą coraz bardziej sprytni.

Zamiast dołączać złośliwy plik, który użytkownik musi kliknąć, aby przejść do strony phishingowej – co wiele osób już wie, wydaje się podejrzane – przekierowanie adresu URL zawiera w wiadomości osadzony adres URL, który wydaje się prawidłowy, ale ostatecznie prowadzi do złośliwej strony kradnącej dane uwierzytelniające Zamiast.

Fałszywy raport dotyczący praw autorskich

Odkryta przez badaczy kampania na Instagramie rozpoczyna się od wysłania e-maila do użytkownika z informacją o otrzymaniu skargi dotyczącej konta naruszającego prawa autorskie oraz o konieczności odwołania się do Instagrama, jeśli użytkownik nie chce stracić konta.

Każdy może złożyć a raport o prawach autorskich z Instagramem, jeśli właściciel konta odkryje, że jego zdjęcia i filmy są wykorzystywane przez innych użytkowników Instagrama – co często zdarza się na platformie mediów społecznościowych. Napastnicy biorący udział w kampanii wykorzystują to, aby nakłonić ofiary do ujawnienia danych uwierzytelniających użytkownika i danych osobowych – napisał Pacag.

E-maile phishingowe zawierają przycisk z linkiem do „formularza odwołania”, informujący użytkowników, że mogą kliknąć link, aby wypełnić formularz, a później skontaktuje się z nimi przedstawiciel Instagrama.

Badacze przeanalizowali wiadomość e-mail w edytorze tekstu i odkryli, że zamiast kierować użytkowników do witryny Instagram w celu wypełnienia wiarygodnego raportu, wykorzystuje ona przekierowanie adresu URL. W szczególności łącze wykorzystuje przepisanie adresu URL lub przekierowanie do witryny należącej do WhatsApp — hxxps://l[.]wl[.]co/l?u= — po której następuje prawdziwy adres URL phishingowy — hxxps://helperlivesback[. ]ml/5372823 — znaleziony w części adresu URL zawierającej zapytanie, wyjaśnił Pacag.

„To coraz popularniejsza sztuczka phishingowa polegająca na wykorzystywaniu legalnych domen do przekierowywania w ten sposób na inne adresy URL” – napisał.

Jeśli użytkownik kliknie przycisk, otworzy się jego domyślna przeglądarka i przekieruje go na zamierzoną stronę phishingową, wykonując ostatecznie kilka kroków, aby ukraść dane użytkownika i hasła, jeśli ofiara to zrobi – twierdzą badacze.

Zbieranie danych krok po kroku

Po pierwsze, jeśli ofiara wprowadzi swoją nazwę użytkownika, dane zostaną przesłane na serwer za pośrednictwem parametrów formularza „POST” – twierdzą badacze. Użytkownik jest proszony o kliknięcie przycisku „Kontynuuj”, a jeśli to zrobi, strona wyświetli wpisaną nazwę użytkownika, teraz poprzedzoną typowym symbolem „@” używanym do oznaczenia nazwy użytkownika na Instagramie. Następnie strona prosi o podanie hasła, które, jeśli zostanie wprowadzone, zostanie również przesłane do serwera kontrolowanego przez osobę atakującą – twierdzą badacze.

Pacag stwierdził, że na tym etapie ataku sytuacja nieco odbiega od typowej strony phishingowej, która zwykle kończy się, gdy osoba wprowadzi swoją nazwę użytkownika i hasło w odpowiednich polach.

Na tym etapie napastnicy biorący udział w kampanii na Instagramie nie poprzestają; zamiast tego proszą użytkownika o ponowne wpisanie hasła, a następnie wypełnienie pola z pytaniem, w jakim mieście mieszka dana osoba. Te dane, podobnie jak pozostałe, są również wysyłane z powrotem na serwer za pośrednictwem „POST” – wyjaśnił Pacag.

W ostatnim kroku użytkownik musi podać swój numer telefonu, którego atakujący prawdopodobnie mogą użyć do obejścia uwierzytelniania dwuskładnikowego (2FA), jeśli jest ono włączone na koncie na Instagramie – twierdzą badacze. Zauważyli, że osoby atakujące mogą również sprzedać te informacje w ciemnej sieci, w którym to przypadku można je wykorzystać w przyszłych oszustwach inicjowanych za pośrednictwem rozmów telefonicznych.

Gdy wszystkie te dane osobowe zostaną zebrane przez atakujących, ofiara zostaje ostatecznie przekierowana na właściwą stronę pomocy Instagrama i rozpoczyna się autentyczny proces zgłaszania praw autorskich, wykorzystywany do zainicjowania oszustwa.

Wykrywanie nowych taktyk phishingu

Z przekierowaniem adresu URL i innymi bardziej unikalne taktyki badacze twierdzą, że e-maile, które są wykorzystywane przez podmioty zagrażające w kampaniach phishingowych, stają się coraz trudniejsze do wykrycia – zarówno dla rozwiązań zabezpieczających pocztę e-mail, jak i dla użytkowników – które wiadomości e-mail są autentyczne, a które stanowią produkt złośliwych zamiarów.

„Większość systemów wykrywania adresów URL może mieć trudności z identyfikacją tej zwodniczej praktyki, ponieważ zamierzone adresy URL służące do phishingu są osadzone głównie w parametrach zapytania adresu URL” – stwierdził Pacag.

Dopóki technologia nie dogoni stale zmieniającą się taktykę phisherów, sami użytkownicy poczty e-mail – zwłaszcza w środowisku korporacyjnym – muszą zachować większą czujność w przypadku wiadomości, które w jakikolwiek sposób wydają się podejrzane, aby uniknąć oszukania – twierdzą badacze.

Użytkownicy mogą to zrobić poprzez sprawdzenie, czy adresy URL zawarte w wiadomościach odpowiadają adresom URL firmy lub usługi, która twierdzi, że je wysyła; klikanie wyłącznie linków w wiadomościach e-mail pochodzących od zaufanych użytkowników, z którymi dana osoba wcześniej się komunikowała; oraz sprawdzenie u pomocy technicznej IT przed kliknięciem dowolnego łącza osadzonego lub załączonego w wiadomości e-mail.