ผู้โจมตีทางไซเบอร์กำหนดเป้าหมายผู้ใช้ Instagram ด้วยการคุกคามการละเมิดลิขสิทธิ์

ผู้คุกคามกำลังกำหนดเป้าหมายผู้ใช้ Instagram ในรูปแบบใหม่ แคมเปญฟิชชิ่ง ที่ใช้การเปลี่ยนเส้นทาง URL เพื่อครอบครองบัญชี หรือขโมยข้อมูลที่ละเอียดอ่อนซึ่งสามารถใช้ในการโจมตีในอนาคตหรือขายบน Dark Web

แคมเปญนี้ใช้ข้อเสนอแนะว่าผู้ใช้อาจกำลังละเมิดลิขสิทธิ์ซึ่งเป็นข้อกังวลอย่างมาก ผู้มีอิทธิพลของโซเชียลมีเดีย, ธุรกิจ และแม้แต่เจ้าของบัญชีเฉลี่ยบน Instagram นักวิจัยจาก Trustwave SpiderLabs เปิดเผยใน การวิเคราะห์ แบ่งปันกับ Dark Reading เมื่อวันที่ 27 ตุลาคม

“ฟิชชิงการละเมิดลิขสิทธิ์” ประเภทนี้ยังพบเห็นได้เมื่อต้นปีนี้ในแคมเปญแยกต่างหาก กำหนดเป้าหมายผู้ใช้ Facebook ซึ่งเป็นแบรนด์ที่อยู่ภายใต้ Meta บริษัทแม่ของ Instagram โดยมีอีเมลระบุว่าผู้ใช้ละเมิดมาตรฐานชุมชน นักวิจัยกล่าว

“ธีมนี้ไม่ใช่เรื่องใหม่ และเราได้เห็นเป็นครั้งคราวในช่วงปีที่แล้ว” Homer Pacag นักวิจัยด้านความปลอดภัยของ Trustwave SpiderLabs เขียนไว้ในโพสต์ “เป็นกลอุบายการละเมิดลิขสิทธิ์แบบเดิมอีกครั้ง แต่คราวนี้ผู้โจมตีได้รับข้อมูลส่วนบุคคลจากเหยื่อมากขึ้นและใช้เทคนิคการหลบเลี่ยงเพื่อซ่อน URL ฟิชชิ่ง”

การหลีกเลี่ยงนั้นมาในรูปแบบของการเปลี่ยนเส้นทาง URL ซึ่งเป็นกลยุทธ์ที่เกิดขึ้นในหมู่ผู้คุกคามที่ กำลังพัฒนาเทคนิคการฟิชชิ่งของพวกเขา ลับๆ ล่อๆ หลบเลี่ยงมากขึ้นเมื่อผู้ใช้อินเทอร์เน็ตเข้าใจมากขึ้น

แทนที่จะแนบไฟล์ที่เป็นอันตรายซึ่งผู้ใช้ต้องคลิกเพื่อไปยังหน้าฟิชชิ่ง ซึ่งเป็นสิ่งที่หลายคนทราบอยู่แล้วว่าดูน่าสงสัย การเปลี่ยนเส้นทาง URL รวม URL ที่ฝังไว้ซึ่งดูเหมือนถูกต้องในข้อความ แต่ท้ายที่สุดจะนำไปสู่หน้าที่เป็นอันตรายซึ่งขโมยข้อมูลรับรอง แทน.

รายงานลิขสิทธิ์ปลอม

แคมเปญ Instagram ที่นักวิจัยค้นพบเริ่มต้นด้วยการส่งอีเมลถึงผู้ใช้เพื่อแจ้งให้ทราบว่าได้รับการร้องเรียนเกี่ยวกับบัญชีที่ละเมิดลิขสิทธิ์ และการอุทธรณ์ไปยัง Instagram เป็นสิ่งจำเป็นหากผู้ใช้ไม่ต้องการสูญเสียบัญชี

ทุกคนสามารถยื่น ก รายงานลิขสิทธิ์ กับ Instagram หากเจ้าของบัญชีพบว่ารูปภาพและวิดีโอของพวกเขากำลังถูกใช้โดยผู้ใช้ Instagram รายอื่น ซึ่งเป็นสิ่งที่เกิดขึ้นบ่อยครั้งบนแพลตฟอร์มโซเชียลมีเดีย ผู้โจมตีในแคมเปญกำลังใช้ประโยชน์จากสิ่งนี้เพื่อพยายามหลอกล่อเหยื่อให้มอบข้อมูลรับรองผู้ใช้และข้อมูลส่วนตัวของพวกเขา Pacag เขียน

อีเมลฟิชชิ่งมีปุ่มที่มีลิงก์ไปยัง "แบบฟอร์มการอุทธรณ์" เพื่อแจ้งให้ผู้ใช้ทราบว่าสามารถคลิกลิงก์เพื่อกรอกแบบฟอร์ม และตัวแทนของ Instagram จะติดต่อกลับในภายหลัง

นักวิจัยวิเคราะห์อีเมลในโปรแกรมแก้ไขข้อความและพบว่าแทนที่จะนำผู้ใช้ไปยังไซต์ Instagram เพื่อกรอกรายงานที่ถูกต้อง จะใช้การเปลี่ยนเส้นทาง URL โดยเฉพาะอย่างยิ่ง ลิงก์ใช้การเขียน URL ใหม่หรือเปลี่ยนเส้นทางไปยังไซต์ที่ WhatsApp เป็นเจ้าของ — hxxps://l[.]wl[.]co/l?u= — ตามด้วย URL ฟิชชิ่งจริง — hxxps://helperlivesback[ ]ml/5372823 — พบในส่วนข้อความค้นหาของ URL, Pacag อธิบาย

“นี่เป็นกลอุบายฟิชชิ่งที่พบได้ทั่วไปมากขึ้น โดยใช้โดเมนที่ถูกต้องเพื่อเปลี่ยนเส้นทางไปยัง URL อื่นในลักษณะนี้” เขาเขียน

หากผู้ใช้คลิกที่ปุ่ม มันจะเปิดเบราว์เซอร์เริ่มต้นของเขาหรือเธอและเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าฟิชชิ่งที่ตั้งใจไว้ โดยจะดำเนินการตามขั้นตอนสองสามขั้นตอนในท้ายที่สุดเพื่อขโมยข้อมูลผู้ใช้และรหัสผ่านหากเหยื่อปฏิบัติตาม นักวิจัยกล่าว

การเก็บเกี่ยวข้อมูลทีละขั้นตอน

อันดับแรก หากเหยื่อป้อนชื่อผู้ใช้ ข้อมูลจะถูกส่งไปยังเซิร์ฟเวอร์ผ่านพารามิเตอร์รูปแบบ “POST” นักวิจัยกล่าว ผู้ใช้จะได้รับแจ้งให้คลิกปุ่ม "ดำเนินการต่อ" และหากดำเนินการเสร็จสิ้น หน้านี้จะแสดงชื่อผู้ใช้ที่พิมพ์ ซึ่งตอนนี้จะนำหน้าด้วยสัญลักษณ์ "@" ทั่วไปที่ใช้เพื่อระบุชื่อผู้ใช้ Instagram จากนั้นหน้าเว็บจะขอรหัสผ่าน ซึ่งถ้าป้อนก็จะถูกส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีด้วย นักวิจัยกล่าว

เมื่อถึงจุดนี้ในการโจมตีซึ่งสิ่งต่าง ๆ เบี่ยงเบนไปจากหน้าฟิชชิ่งทั่วไปเล็กน้อย ซึ่งโดยปกติแล้วจะพึงพอใจเมื่อบุคคลป้อนชื่อผู้ใช้และรหัสผ่านลงในช่องที่เหมาะสม Pacag กล่าว

ผู้โจมตีในแคมเปญ Instagram ไม่ได้หยุดเพียงแค่ขั้นตอนนี้ แต่จะขอให้ผู้ใช้พิมพ์รหัสผ่านอีกครั้ง จากนั้นกรอกข้อมูลลงในช่องคำถามที่ถามว่าบุคคลดังกล่าวอาศัยอยู่ในเมืองใด ข้อมูลนี้จะถูกส่งกลับไปยังเซิร์ฟเวอร์ผ่าน “POST” Pacag อธิบาย เช่นเดียวกับข้อมูลอื่นๆ

ขั้นตอนสุดท้ายจะแจ้งให้ผู้ใช้กรอกหมายเลขโทรศัพท์ของตน ซึ่งคาดว่าผู้โจมตีสามารถใช้เพื่อรับการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ที่ผ่านมาได้ หากเปิดใช้งานในบัญชี Instagram นักวิจัยกล่าว ผู้โจมตียังสามารถขายข้อมูลนี้บน Dark Web ซึ่งในกรณีนี้สามารถใช้สำหรับการหลอกลวงในอนาคตที่เริ่มต้นผ่านทางโทรศัพท์ได้ พวกเขาตั้งข้อสังเกต

เมื่อผู้โจมตีรวบรวมข้อมูลส่วนตัวทั้งหมดนี้แล้ว ในที่สุด เหยื่อจะถูกเปลี่ยนเส้นทางไปยังหน้าช่วยเหลือจริงของ Instagram และเริ่มกระบวนการรายงานลิขสิทธิ์ที่แท้จริงซึ่งใช้เพื่อเริ่มต้นการหลอกลวง

การตรวจจับกลวิธีฟิชชิ่งแบบใหม่

ด้วยการเปลี่ยนเส้นทาง URL และอื่นๆ กลยุทธ์ที่หลีกเลี่ยงมากขึ้น นักวิจัยกล่าวว่าการถูกโจมตีโดยผู้คุกคามในแคมเปญฟิชชิ่งทำให้ตรวจจับได้ยากขึ้น ทั้งสำหรับโซลูชันการรักษาความปลอดภัยของอีเมลและผู้ใช้ อีเมลใดถูกต้องตามกฎหมายและเป็นผลผลิตจากเจตนาร้าย

“ระบบตรวจจับ URL ส่วนใหญ่จะระบุพฤติกรรมหลอกลวงนี้ได้ยาก เนื่องจาก URL ฟิชชิ่งที่ตั้งใจไว้ส่วนใหญ่จะฝังอยู่ในพารามิเตอร์การสืบค้น URL” Pacag กล่าว

จนกว่าเทคโนโลยีจะตามทันกลวิธีของฟิชเชอร์ที่เปลี่ยนแปลงตลอดเวลา ผู้ใช้อีเมลเอง โดยเฉพาะในองค์กร จำเป็นต้องรักษาระดับการแจ้งเตือนให้สูงขึ้นเมื่อได้รับข้อความที่น่าสงสัยในลักษณะใดๆ เพื่อหลีกเลี่ยงไม่ให้ถูกหลอก นักวิจัยกล่าว

วิธีที่ผู้ใช้สามารถทำได้คือการตรวจสอบว่า URL ที่รวมอยู่ในข้อความตรงกับ URL ที่ถูกต้องตามกฎหมายของบริษัทหรือบริการที่อ้างว่าเป็นผู้ส่ง เฉพาะการคลิกลิงก์ในอีเมลที่มาจากผู้ใช้ที่เชื่อถือได้ซึ่งผู้คนเคยสื่อสารด้วยก่อนหน้านี้ และตรวจสอบกับฝ่ายสนับสนุนด้านไอทีก่อนคลิกลิงก์ที่ฝังหรือแนบมาในอีเมล