Злоумышленники атакуют пользователей Instagram в новом фишинговая кампания который использует перенаправление URL-адресов для захвата учетных записей или кражи конфиденциальной информации, которая может быть использована в будущих атаках или продана в даркнете.
В качестве приманки кампания использует предположение о том, что пользователи могут нарушать авторские права, что вызывает большое беспокойство у влиятельные люди в социальных сетях, компании и даже среднестатистический владелец аккаунта в Instagram, показали исследователи из Trustwave SpiderLabs в анализ поделился с Dark Reading 27 октября.
Этот тип «фишинга с нарушением прав» также наблюдался ранее в этом году в рамках отдельной кампании. таргетинг на пользователей Facebook — бренд, также принадлежащий материнской компании Instagram Meta, — с электронными письмами, предполагающими, что пользователи нарушили стандарты сообщества, говорят исследователи.
«Эта тема не нова, и мы время от времени сталкивались с ней в течение последнего года», — написал в своем посте Гомер Пакаг, исследователь безопасности Trustwave SpiderLabs. «Это снова та же уловка с нарушением авторских прав, но на этот раз злоумышленники получают больше личной информации от своих жертв и используют методы уклонения, чтобы скрыть фишинговые URL-адреса».
Это уклонение происходит в форме перенаправления URL-адресов, новой тактики среди злоумышленников, которые развивают свои методы фишинга быть более скрытным и уклончивым, поскольку интернет-пользователи становятся более сообразительными.
Вместо прикрепления вредоносного файла, на который пользователь должен щелкнуть, чтобы перейти на фишинговую страницу (что, как многие уже знают, кажется подозрительным), перенаправление URL-адресов включает в сообщение встроенный URL-адрес, который выглядит законным, но в конечном итоге ведет на вредоносную страницу, которая крадет учетные данные. вместо.
Поддельный отчет об авторских правах
Кампания в Instagram, обнаруженная исследователями, начинается с электронного письма пользователю, уведомляющего его или ее о том, что были получены жалобы на нарушение авторских прав аккаунтом и что обращение в Instagram необходимо, если пользователь не хочет потерять аккаунт.
Любой желающий может подать отчет об авторских правах с Instagram, если владелец учетной записи обнаруживает, что его фотографии и видео используются другими пользователями Instagram — что часто происходит на платформе социальных сетей. Злоумышленники в кампании пользуются этим, чтобы попытаться обманом заставить жертв выдать свои учетные данные пользователя и личную информацию, пишет Пакаг.
Фишинговые электронные письма содержат кнопку со ссылкой на «форму апелляции», информирующую пользователей о том, что они могут щелкнуть ссылку, чтобы заполнить форму, а позже представитель Instagram свяжется с ними.
Исследователи проанализировали электронное письмо в текстовом редакторе и обнаружили, что вместо того, чтобы направлять пользователей на сайт Instagram для заполнения законного отчета, оно использует перенаправление URL. В частности, ссылка использует перезапись URL-адреса или перенаправление на сайт, принадлежащий WhatsApp — hxxps://l[.]wl[.]co/l?u= — за которым следует настоящий фишинговый URL-адрес — hxxps://helperlivesback[. ]ml/5372823 — находится в части запроса URL, объяснил Пакаг.
«Это все более распространенный фишинговый трюк, использующий законные домены для перенаправления на другие URL-адреса таким образом», — написал он.
По словам исследователей, если пользователь нажимает на кнопку, он открывает свой браузер по умолчанию и перенаправляет пользователя на предполагаемую фишинговую страницу, выполняя несколько шагов, чтобы в конечном итоге украсть данные пользователя и пароль, если жертва выполнит их.
Пошаговый сбор данных
Во-первых, если жертва вводит свое имя пользователя, данные отправляются на сервер через параметры формы «POST», говорят исследователи. Пользователю предлагается нажать кнопку «Продолжить», и если это будет сделано, на странице отобразится введенное имя пользователя, теперь с префиксом типичного символа «@», используемого для обозначения имени пользователя Instagram. Затем страница запрашивает пароль, который, если он введен, также отправляется на сервер, контролируемый злоумышленниками, говорят исследователи.
По словам Пакага, именно на этом этапе атаки все немного отличается от типичной фишинговой страницы, которая обычно удовлетворяется, когда человек вводит свое имя пользователя и пароль в соответствующие поля.
Злоумышленники в кампании Instagram не останавливаются на этом шаге; вместо этого они просят пользователя ввести свой пароль еще раз, а затем заполнить поле вопроса, в котором спрашивается, в каком городе живет человек. Эти данные, как и остальные, также отправляются обратно на сервер через «POST», — пояснил Пакаг.
По словам исследователей, на последнем шаге пользователю предлагается ввести свой номер телефона, который, предположительно, могут использовать злоумышленники для прохождения двухфакторной аутентификации (2FA), если она включена в учетной записи Instagram. Злоумышленники также могут продавать эту информацию в Даркнете, и в этом случае ее можно использовать для будущих мошенничеств, которые инициируются с помощью телефонных звонков, отметили они.
Как только злоумышленники собирают всю эту личную информацию, жертва, наконец, перенаправляется на реальную страницу справки Instagram, и начинается подлинный процесс сообщения об авторских правах, используемый для инициирования мошенничества.
Обнаружение новых тактик фишинга
С перенаправлением URL и другими более тактика уклонения По словам исследователей, когда злоумышленники используют злоумышленников в фишинговых кампаниях, становится все труднее определить — как для решений по обеспечению безопасности электронной почты, так и для пользователей — какие электронные письма являются законными, а какие являются продуктом злонамеренных намерений.
«Большинству систем обнаружения URL-адресов может быть сложно идентифицировать эту мошенническую практику, поскольку предполагаемые фишинговые URL-адреса в основном встроены в параметры URL-запроса», — сказал Пакаг.
По словам исследователей, пока технология не догонит постоянно меняющуюся тактику фишеров, сами пользователи электронной почты — особенно в корпоративной среде — должны поддерживать более высокую степень бдительности, когда речь идет о сообщениях, которые кажутся подозрительными в любом случае, чтобы их не обманули.
Пользователи могут сделать это, проверив, что URL-адреса, включенные в сообщения, совпадают с законными URL-адресами компании или службы, которые утверждают, что отправляют их; только переходы по ссылкам в электронных письмах, которые приходят от доверенных пользователей, с которыми люди общались ранее; и проконсультируйтесь с ИТ-поддержкой, прежде чем переходить по любой встроенной или прикрепленной ссылке в электронном письме.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
