Hotaktörer riktar sig till Instagram-användare i en ny phishing-kampanj som använder URL-omdirigering för att ta över konton, eller stjäla känslig information som kan användas i framtida attacker eller säljas på Dark Web.
Som ett lockbete använder kampanjen ett förslag om att användare kan begå upphovsrättsintrång – ett stort problem bland påverkande sociala medier, företag och till och med den genomsnittliga kontoinnehavaren på Instagram, avslöjade forskare från Trustwave SpiderLabs i en analys delade med Dark Reading den 27 oktober.
Denna typ av "intrångsnätfiske" sågs också tidigare i år, i en separat kampanj riktar sig till användare av Facebook – ett varumärke även under Instagrams moderbolag Meta – med e-postmeddelanden som tyder på att användare hade brutit mot gemenskapsstandarder, sa forskarna.
"Det här temat är inte nytt, och vi har sett det då och då under det senaste året", skrev Homer Pacag, säkerhetsforskare från Trustwave SpiderLabs, i inlägget. "Det är samma upphovsrättsintrångstrick igen, men den här gången får angriparna mer personlig information från sina offer och använder undanflyktstekniker för att dölja webbadresser för nätfiske."
Den undanflykten kommer i form av URL-omdirigering, en framväxande taktik bland hotaktörer som utvecklar sina nätfisketekniker att vara smygande och mer undvikande när internetanvändare blir mer kunniga.
Istället för att bifoga en skadlig fil som en användare måste klicka på för att komma till en nätfiskesida – något som många redan vet verkar misstänkt – inkluderar URL-omdirigering i ett meddelande en inbäddad URL som verkar legitim men som i slutändan leder till en skadlig sida som stjäl autentiseringsuppgifter istället.
Falsk upphovsrättsrapport
Instagramkampanjen som forskare upptäckte börjar med ett e-postmeddelande till en användare som meddelar honom eller henne att klagomål mottagits om att kontot gör intrång i upphovsrätten, och att en överklagan till Instagram är nödvändig om användaren inte vill förlora kontot.
Vem som helst kan lämna in en upphovsrättsrapport med Instagram om kontoägaren upptäcker att deras bilder och videor används av andra Instagram-användare — något som ofta händer på den sociala medieplattformen. Angripare i kampanjen utnyttjar detta för att försöka lura offren att ge bort sina användaruppgifter och personlig information, skrev Pacag.
Nätfiskemeddelandena innehåller en knapp med en länk till ett "överklagandeformulär", som informerar användarna om att de kan klicka på länken för att fylla i formuläret och kommer senare att kontaktas av en Instagram-representant.
Forskare analyserade e-postmeddelandet i en textredigerare och fann att den använder URL-omdirigering i stället för att dirigera användarna till Instagram-webbplatsen för att fylla i en legitim rapport. Specifikt använder länken en URL-omskrivning eller omdirigering till en webbplats som ägs av WhatsApp — hxxps://l[.]wl[.]co/l?u= — följt av den sanna nätfiske-URLen — hxxps://helperlivesback[. ]ml/5372823 — finns i frågedelen av URL:en, förklarade Pacag.
"Detta är ett allt vanligare nätfisketrick, att använda legitima domäner för att omdirigera till andra webbadresser på det här sättet", skrev han.
Om en användare klickar på knappen, öppnar den hans eller hennes standardwebbläsare och omdirigerar användaren till den avsedda nätfiskesidan, och går igenom några steg i slutändan för att stjäla användar- och lösenordsdata om offret följer med, sa forskarna.
Steg-för-steg datainsamling
För det första, om offret anger sitt användarnamn, skickas data till servern via formuläret "POST" -parametrar, sa forskarna. En användare uppmanas att klicka på en "Fortsätt"-knapp, och om detta görs visar sidan det inskrivna användarnamnet, nu prefixet med den typiska "@"-symbolen som används för att beteckna ett Instagram-användarnamn. Sedan ber sidan om ett lösenord, som, om det anges, också skickas till den angriparkontrollerade servern, sa forskarna.
Det är vid denna tidpunkt i attacken där saker och ting avviker något från en typisk nätfiskesida, som vanligtvis är nöjd när en person anger sitt användarnamn och lösenord i lämpliga fält, sa Pacag.
Angriparna i Instagram-kampanjen stannar inte vid detta steg; istället ber de användaren att skriva in sitt lösenord en gång till och sedan fylla i ett frågefält som frågar i vilken stad personen bor. Denna data, liksom resten, skickas också tillbaka till servern via "POST", förklarade Pacag.
Det sista steget uppmanar användaren att fylla i sitt telefonnummer, vilket angripare förmodligen kan använda för att komma förbi tvåfaktorsautentisering (2FA) om det är aktiverat på ett Instagram-konto, sa forskarna. Angripare kan också sälja denna information på Dark Web, i vilket fall den kan användas för framtida bedrägerier som initieras via telefonsamtal, noterade de.
När all denna personliga information har samlats in av angripare, omdirigeras offret slutligen till Instagrams faktiska hjälpsida och början på den autentiska upphovsrättsrapporteringsprocessen som användes för att initiera bluffen.
Upptäcker nya nätfisketaktik
Med URL-omdirigering och annat mer undvikande taktik som tas av hotaktörer i nätfiskekampanjer blir det svårare att upptäcka – både för e-postsäkerhetslösningar och för användare – vilka e-postmeddelanden som är legitima och vilka som är resultatet av skadliga avsikter, sa forskarna.
"Det kan vara svårt för de flesta URL-detekteringssystem att identifiera denna vilseledande praxis, eftersom de avsedda nätfiske-URL:erna är inbäddade mestadels i URL-frågeparametrarna," sa Pacag.
Tills tekniken kommer ikapp den ständigt föränderliga taktiken hos nätfiskare, måste e-postanvändare själva – särskilt i företagsmiljöer – upprätthålla en högre grad av beredskap när det kommer till meddelanden som verkar misstänkta på något sätt för att undvika att bli lurade, sa forskarna.
Sätt som användare kan göra detta på är genom att kontrollera att webbadresser som ingår i meddelanden matchar de legitima till företaget eller tjänsten som påstår sig skicka dem; endast klicka på länkar i e-postmeddelanden som kommer från betrodda användare som folk har kommunicerat med tidigare; och kontrollera med IT-support innan du klickar på någon inbäddad eller bifogad länk i ett e-postmeddelande.
