ผู้คุกคามกำลังกำหนดเป้าหมายผู้ใช้ Instagram ในรูปแบบใหม่ แคมเปญฟิชชิ่ง ที่ใช้การเปลี่ยนเส้นทาง URL เพื่อครอบครองบัญชี หรือขโมยข้อมูลที่ละเอียดอ่อนซึ่งสามารถใช้ในการโจมตีในอนาคตหรือขายบน Dark Web
แคมเปญนี้ใช้ข้อเสนอแนะว่าผู้ใช้อาจกำลังละเมิดลิขสิทธิ์ซึ่งเป็นข้อกังวลอย่างมาก ผู้มีอิทธิพลของโซเชียลมีเดีย, ธุรกิจ และแม้แต่เจ้าของบัญชีเฉลี่ยบน Instagram นักวิจัยจาก Trustwave SpiderLabs เปิดเผยใน การวิเคราะห์ แบ่งปันกับ Dark Reading เมื่อวันที่ 27 ตุลาคม
“ฟิชชิงการละเมิดลิขสิทธิ์” ประเภทนี้ยังพบเห็นได้เมื่อต้นปีนี้ในแคมเปญแยกต่างหาก กำหนดเป้าหมายผู้ใช้ Facebook ซึ่งเป็นแบรนด์ที่อยู่ภายใต้ Meta บริษัทแม่ของ Instagram โดยมีอีเมลระบุว่าผู้ใช้ละเมิดมาตรฐานชุมชน นักวิจัยกล่าว
“ธีมนี้ไม่ใช่เรื่องใหม่ และเราได้เห็นเป็นครั้งคราวในช่วงปีที่แล้ว” Homer Pacag นักวิจัยด้านความปลอดภัยของ Trustwave SpiderLabs เขียนไว้ในโพสต์ “เป็นกลอุบายการละเมิดลิขสิทธิ์แบบเดิมอีกครั้ง แต่คราวนี้ผู้โจมตีได้รับข้อมูลส่วนบุคคลจากเหยื่อมากขึ้นและใช้เทคนิคการหลบเลี่ยงเพื่อซ่อน URL ฟิชชิ่ง”
การหลีกเลี่ยงนั้นมาในรูปแบบของการเปลี่ยนเส้นทาง URL ซึ่งเป็นกลยุทธ์ที่เกิดขึ้นในหมู่ผู้คุกคามที่ กำลังพัฒนาเทคนิคการฟิชชิ่งของพวกเขา ลับๆ ล่อๆ หลบเลี่ยงมากขึ้นเมื่อผู้ใช้อินเทอร์เน็ตเข้าใจมากขึ้น
แทนที่จะแนบไฟล์ที่เป็นอันตรายซึ่งผู้ใช้ต้องคลิกเพื่อไปยังหน้าฟิชชิ่ง ซึ่งเป็นสิ่งที่หลายคนทราบอยู่แล้วว่าดูน่าสงสัย การเปลี่ยนเส้นทาง URL รวม URL ที่ฝังไว้ซึ่งดูเหมือนถูกต้องในข้อความ แต่ท้ายที่สุดจะนำไปสู่หน้าที่เป็นอันตรายซึ่งขโมยข้อมูลรับรอง แทน.
รายงานลิขสิทธิ์ปลอม
แคมเปญ Instagram ที่นักวิจัยค้นพบเริ่มต้นด้วยการส่งอีเมลถึงผู้ใช้เพื่อแจ้งให้ทราบว่าได้รับการร้องเรียนเกี่ยวกับบัญชีที่ละเมิดลิขสิทธิ์ และการอุทธรณ์ไปยัง Instagram เป็นสิ่งจำเป็นหากผู้ใช้ไม่ต้องการสูญเสียบัญชี
ทุกคนสามารถยื่น ก รายงานลิขสิทธิ์ กับ Instagram หากเจ้าของบัญชีพบว่ารูปภาพและวิดีโอของพวกเขากำลังถูกใช้โดยผู้ใช้ Instagram รายอื่น ซึ่งเป็นสิ่งที่เกิดขึ้นบ่อยครั้งบนแพลตฟอร์มโซเชียลมีเดีย ผู้โจมตีในแคมเปญกำลังใช้ประโยชน์จากสิ่งนี้เพื่อพยายามหลอกล่อเหยื่อให้มอบข้อมูลรับรองผู้ใช้และข้อมูลส่วนตัวของพวกเขา Pacag เขียน
อีเมลฟิชชิ่งมีปุ่มที่มีลิงก์ไปยัง "แบบฟอร์มการอุทธรณ์" เพื่อแจ้งให้ผู้ใช้ทราบว่าสามารถคลิกลิงก์เพื่อกรอกแบบฟอร์ม และตัวแทนของ Instagram จะติดต่อกลับในภายหลัง
นักวิจัยวิเคราะห์อีเมลในโปรแกรมแก้ไขข้อความและพบว่าแทนที่จะนำผู้ใช้ไปยังไซต์ Instagram เพื่อกรอกรายงานที่ถูกต้อง จะใช้การเปลี่ยนเส้นทาง URL โดยเฉพาะอย่างยิ่ง ลิงก์ใช้การเขียน URL ใหม่หรือเปลี่ยนเส้นทางไปยังไซต์ที่ WhatsApp เป็นเจ้าของ — hxxps://l[.]wl[.]co/l?u= — ตามด้วย URL ฟิชชิ่งจริง — hxxps://helperlivesback[ ]ml/5372823 — พบในส่วนข้อความค้นหาของ URL, Pacag อธิบาย
“นี่เป็นกลอุบายฟิชชิ่งที่พบได้ทั่วไปมากขึ้น โดยใช้โดเมนที่ถูกต้องเพื่อเปลี่ยนเส้นทางไปยัง URL อื่นในลักษณะนี้” เขาเขียน
หากผู้ใช้คลิกที่ปุ่ม มันจะเปิดเบราว์เซอร์เริ่มต้นของเขาหรือเธอและเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าฟิชชิ่งที่ตั้งใจไว้ โดยจะดำเนินการตามขั้นตอนสองสามขั้นตอนในท้ายที่สุดเพื่อขโมยข้อมูลผู้ใช้และรหัสผ่านหากเหยื่อปฏิบัติตาม นักวิจัยกล่าว
การเก็บเกี่ยวข้อมูลทีละขั้นตอน
อันดับแรก หากเหยื่อป้อนชื่อผู้ใช้ ข้อมูลจะถูกส่งไปยังเซิร์ฟเวอร์ผ่านพารามิเตอร์รูปแบบ “POST” นักวิจัยกล่าว ผู้ใช้จะได้รับแจ้งให้คลิกปุ่ม "ดำเนินการต่อ" และหากดำเนินการเสร็จสิ้น หน้านี้จะแสดงชื่อผู้ใช้ที่พิมพ์ ซึ่งตอนนี้จะนำหน้าด้วยสัญลักษณ์ "@" ทั่วไปที่ใช้เพื่อระบุชื่อผู้ใช้ Instagram จากนั้นหน้าเว็บจะขอรหัสผ่าน ซึ่งถ้าป้อนก็จะถูกส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีด้วย นักวิจัยกล่าว
เมื่อถึงจุดนี้ในการโจมตีซึ่งสิ่งต่าง ๆ เบี่ยงเบนไปจากหน้าฟิชชิ่งทั่วไปเล็กน้อย ซึ่งโดยปกติแล้วจะพึงพอใจเมื่อบุคคลป้อนชื่อผู้ใช้และรหัสผ่านลงในช่องที่เหมาะสม Pacag กล่าว
ผู้โจมตีในแคมเปญ Instagram ไม่ได้หยุดเพียงแค่ขั้นตอนนี้ แต่จะขอให้ผู้ใช้พิมพ์รหัสผ่านอีกครั้ง จากนั้นกรอกข้อมูลลงในช่องคำถามที่ถามว่าบุคคลดังกล่าวอาศัยอยู่ในเมืองใด ข้อมูลนี้จะถูกส่งกลับไปยังเซิร์ฟเวอร์ผ่าน “POST” Pacag อธิบาย เช่นเดียวกับข้อมูลอื่นๆ
ขั้นตอนสุดท้ายจะแจ้งให้ผู้ใช้กรอกหมายเลขโทรศัพท์ของตน ซึ่งคาดว่าผู้โจมตีสามารถใช้เพื่อรับการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ที่ผ่านมาได้ หากเปิดใช้งานในบัญชี Instagram นักวิจัยกล่าว ผู้โจมตียังสามารถขายข้อมูลนี้บน Dark Web ซึ่งในกรณีนี้สามารถใช้สำหรับการหลอกลวงในอนาคตที่เริ่มต้นผ่านทางโทรศัพท์ได้ พวกเขาตั้งข้อสังเกต
เมื่อผู้โจมตีรวบรวมข้อมูลส่วนตัวทั้งหมดนี้แล้ว ในที่สุด เหยื่อจะถูกเปลี่ยนเส้นทางไปยังหน้าช่วยเหลือจริงของ Instagram และเริ่มกระบวนการรายงานลิขสิทธิ์ที่แท้จริงซึ่งใช้เพื่อเริ่มต้นการหลอกลวง
การตรวจจับกลวิธีฟิชชิ่งแบบใหม่
ด้วยการเปลี่ยนเส้นทาง URL และอื่นๆ กลยุทธ์ที่หลีกเลี่ยงมากขึ้น นักวิจัยกล่าวว่าการถูกโจมตีโดยผู้คุกคามในแคมเปญฟิชชิ่งทำให้ตรวจจับได้ยากขึ้น ทั้งสำหรับโซลูชันการรักษาความปลอดภัยของอีเมลและผู้ใช้ อีเมลใดถูกต้องตามกฎหมายและเป็นผลผลิตจากเจตนาร้าย
“ระบบตรวจจับ URL ส่วนใหญ่จะระบุพฤติกรรมหลอกลวงนี้ได้ยาก เนื่องจาก URL ฟิชชิ่งที่ตั้งใจไว้ส่วนใหญ่จะฝังอยู่ในพารามิเตอร์การสืบค้น URL” Pacag กล่าว
จนกว่าเทคโนโลยีจะตามทันกลวิธีของฟิชเชอร์ที่เปลี่ยนแปลงตลอดเวลา ผู้ใช้อีเมลเอง โดยเฉพาะในองค์กร จำเป็นต้องรักษาระดับการแจ้งเตือนให้สูงขึ้นเมื่อได้รับข้อความที่น่าสงสัยในลักษณะใดๆ เพื่อหลีกเลี่ยงไม่ให้ถูกหลอก นักวิจัยกล่าว
วิธีที่ผู้ใช้สามารถทำได้คือการตรวจสอบว่า URL ที่รวมอยู่ในข้อความตรงกับ URL ที่ถูกต้องตามกฎหมายของบริษัทหรือบริการที่อ้างว่าเป็นผู้ส่ง เฉพาะการคลิกลิงก์ในอีเมลที่มาจากผู้ใช้ที่เชื่อถือได้ซึ่งผู้คนเคยสื่อสารด้วยก่อนหน้านี้ และตรวจสอบกับฝ่ายสนับสนุนด้านไอทีก่อนคลิกลิงก์ที่ฝังหรือแนบมาในอีเมล
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์