Os atores da ameaça estão visando os usuários do Instagram em uma nova campanha de phishing que usa redirecionamento de URL para assumir o controle de contas ou roubar informações confidenciais que podem ser usadas em ataques futuros ou vendidas na Dark Web.
Como isca, a campanha usa a sugestão de que os usuários podem estar cometendo violação de direitos autorais – uma grande preocupação entre influenciadores de mídia social, empresas e até mesmo o titular médio de contas no Instagram, revelaram pesquisadores da Trustwave SpiderLabs em uma análise compartilhado com Dark Reading em 27 de outubro.
Este tipo de “phishing por violação” também foi visto no início deste ano, numa campanha separada segmentando usuários do Facebook – uma marca também pertencente à Meta, empresa controladora do Instagram – com e-mails sugerindo que os usuários violaram os padrões da comunidade, disseram os pesquisadores.
“Este tema não é novo e vimos isso de vez em quando no ano passado”, escreveu Homer Pacag, pesquisador de segurança do Trustwave SpiderLabs, no post. “É novamente o mesmo truque de violação de direitos autorais, mas desta vez, os invasores obtêm mais informações pessoais de suas vítimas e usam técnicas de evasão para ocultar URLs de phishing.”
Essa evasão vem na forma de redirecionamento de URL, uma tática emergente entre os agentes de ameaças que estão evoluindo suas técnicas de phishing ser mais sorrateiro e evasivo à medida que os usuários da Internet se tornam mais experientes.
Em vez de anexar um arquivo malicioso no qual um usuário deve clicar para acessar uma página de phishing – algo que muitas pessoas já sabem que parece suspeito – o redirecionamento de URL inclui em uma mensagem um URL incorporado que parece legítimo, mas que acaba levando a uma página maliciosa que rouba credenciais em vez de.
Relatório falso de direitos autorais
A campanha do Instagram que os pesquisadores descobriram começa com um e-mail para um usuário notificando-o de que foram recebidas reclamações sobre a violação de direitos autorais da conta e que é necessário recorrer ao Instagram se o usuário não quiser perder a conta.
Qualquer pessoa pode registrar um relatório de direitos autorais com o Instagram se o proprietário da conta descobrir que suas fotos e vídeos estão sendo usados por outros usuários do Instagram – algo que acontece frequentemente na plataforma de mídia social. Os invasores da campanha estão aproveitando isso para tentar induzir as vítimas a fornecerem suas credenciais de usuário e informações pessoais, escreveu Pacag.
Os e-mails de phishing incluem um botão com um link para um “formulário de apelação”, informando aos usuários que eles podem clicar no link para preencher o formulário e posteriormente serão contatados por um representante do Instagram.
Os pesquisadores analisaram o e-mail em um editor de texto e descobriram que, em vez de direcionar os usuários ao site do Instagram para preencher um relatório legítimo, ele emprega redirecionamento de URL. Especificamente, o link usa uma reescrita de URL ou redirecionador para um site de propriedade do WhatsApp — hxxps://l[.]wl[.]co/l?u= — seguido pelo verdadeiro URL de phishing — hxxps://helperlivesback[. ]ml/5372823 – encontrado na parte de consulta do URL, explicou Pacag.
“Este é um truque de phishing cada vez mais comum, usando domínios legítimos para redirecionar para outros URLs desta forma”, escreveu ele.
Se um usuário clicar no botão, ele abrirá seu navegador padrão e redirecionará o usuário para a página de phishing pretendida, passando por algumas etapas para roubar dados de usuário e senha se a vítima prosseguir, disseram os pesquisadores.
Coleta de dados passo a passo
Primeiro, se a vítima inserir seu nome de usuário, os dados serão enviados ao servidor por meio dos parâmetros do formulário “POST”, disseram os pesquisadores. Um usuário é solicitado a clicar no botão “Continuar” e, se isso for feito, a página exibe o nome de usuário digitado, agora prefixado com o típico símbolo “@” usado para indicar um nome de usuário do Instagram. Em seguida, a página pede uma senha que, se digitada, também é enviada ao servidor controlado pelo invasor, disseram os pesquisadores.
É neste ponto do ataque que as coisas se desviam ligeiramente de uma típica página de phishing, que geralmente é satisfeita quando uma pessoa insere seu nome de usuário e senha nos campos apropriados, disse Pacag.
Os atacantes da campanha do Instagram não param nesta etapa; em vez disso, pedem ao usuário que digite sua senha mais uma vez e, em seguida, preencha um campo de perguntas perguntando em qual cidade a pessoa mora. Esses dados, como os demais, também são enviados de volta ao servidor via “POST”, explicou Pacag.
A última etapa solicita que o usuário preencha seu número de telefone, que presumivelmente os invasores podem usar para passar pela autenticação de dois fatores (2FA) se estiver habilitada em uma conta do Instagram, disseram os pesquisadores. Os invasores também podem vender essas informações na Dark Web e, nesse caso, podem ser usadas para futuros golpes iniciados por meio de chamadas telefônicas, observaram.
Depois que todas essas informações pessoais são coletadas pelos invasores, a vítima é finalmente redirecionada para a página de ajuda real do Instagram e para o início do autêntico processo de denúncia de direitos autorais usado para iniciar o golpe.
Detectando novas táticas de phishing
Com redirecionamento de URL e outros táticas mais evasivas sendo capturados por agentes de ameaças em campanhas de phishing, está cada vez mais difícil detectar – tanto para soluções de segurança de e-mail quanto para usuários – quais e-mails são legítimos e quais são produto de intenção maliciosa, disseram os pesquisadores.
“Pode ser difícil para a maioria dos sistemas de detecção de URL identificar essa prática enganosa, já que os URLs de phishing pretendidos estão incorporados principalmente nos parâmetros de consulta de URL”, disse Pacag.
Até que a tecnologia acompanhe as táticas em constante mudança dos phishers, os próprios usuários de e-mail – especialmente em ambientes corporativos – precisam manter um maior grau de alerta quando se trata de mensagens que pareçam suspeitas de alguma forma para evitar serem enganados, disseram os pesquisadores.
Os usuários podem fazer isso verificando se os URLs incluídos nas mensagens correspondem aos legítimos da empresa ou serviço que afirma estar enviando-os; clicar apenas em links de e-mails provenientes de usuários confiáveis com quem as pessoas já se comunicaram anteriormente; e verificar com o suporte de TI antes de clicar em qualquer link incorporado ou anexado em um e-mail.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
