Tehdit aktörleri yeni bir hamleyle Instagram kullanıcılarını hedef alıyor kimlik avı kampanyası Hesapları ele geçirmek veya gelecekteki saldırılarda kullanılabilecek veya Dark Web'de satılabilecek hassas bilgileri çalmak için URL yönlendirmeyi kullanan bir yazılım.
Kampanya, yem olarak kullanıcıların telif hakkı ihlali yapıyor olabileceği yönünde bir öneri kullanıyor; bu da büyük bir endişe kaynağı. sosyal medya etkileyicileriTrustwave SpiderLabs araştırmacıları, Instagram'daki ortalama hesap sahibinin, işletmelerin ve hatta ortalama hesap sahibinin bir analiz 27 Ekim'de Dark Reading ile paylaşıldı.
Bu tür "hak ihlali kimlik avı" bu yılın başlarında ayrı bir kampanyada da görüldü Facebook kullanıcılarını hedef alıyor Araştırmacılar, Instagram'ın ana şirketi Meta'nın da altında yer alan bir markanın, kullanıcıların topluluk standartlarını ihlal ettiğini öne süren e-postalar içerdiğini söyledi.
Trustwave SpiderLabs güvenlik araştırmacısı Homer Pacag, gönderisinde "Bu tema yeni değil ve bunu geçen yıl boyunca zaman zaman gördük" diye yazdı. "Yine aynı telif hakkı ihlali hilesi, ancak bu sefer saldırganlar kurbanlarından daha fazla kişisel bilgi alıyor ve kimlik avı URL'lerini gizlemek için kaçırma teknikleri kullanıyor."
Bu kaçırma, tehdit aktörleri arasında ortaya çıkan bir taktik olan URL yeniden yönlendirmesi şeklinde gerçekleşir. Kimlik avı tekniklerini geliştiriyorlar İnternet kullanıcıları daha anlayışlı hale geldikçe daha sinsi ve kaçamak davranmak.
Kullanıcının bir kimlik avı sayfasına ulaşmak için tıklaması gereken kötü amaçlı bir dosya eklemek yerine (birçok kişinin zaten şüpheli göründüğü bir şey) URL yeniden yönlendirmesi, bir mesaja meşru görünen ancak sonuçta kimlik bilgilerini çalan kötü amaçlı bir sayfaya yönlendiren yerleşik bir URL içerir. yerine.
Sahte Telif Hakkı Raporu
Araştırmacıların keşfettiği Instagram kampanyası, kullanıcıya, hesabın telif hakkını ihlal ettiğine dair şikayetler alındığını ve kullanıcı hesabı kaybetmek istemiyorsa Instagram'a itirazda bulunulması gerektiğini bildiren bir e-postayla başlıyor.
Herkes başvuruda bulunabilir telif hakkı raporu Hesap sahibi, fotoğraflarının ve videolarının diğer Instagram kullanıcıları tarafından kullanıldığını keşfederse Instagram ile iletişime geçebilir; bu, sosyal medya platformunda sıklıkla meydana gelen bir durumdur. Pacag, kampanyadaki saldırganların kurbanları kullanıcı kimlik bilgilerini ve kişisel bilgilerini vermeleri için kandırmaya çalışmak için bundan yararlandığını yazdı.
Kimlik avı e-postaları, kullanıcılara formu doldurmak için bağlantıya tıklayabileceklerini ve daha sonra bir Instagram temsilcisiyle iletişime geçebileceklerini bildiren bir "itiraz formu" bağlantısı içeren bir düğme içerir.
Araştırmacılar e-postayı bir metin düzenleyicide analiz ettiler ve kullanıcıları meşru bir rapor doldurmaları için Instagram sitesine yönlendirmek yerine URL yönlendirmesini kullandığını buldular. Özellikle, bağlantı, WhatsApp'a ait bir siteye yönelik bir URL yeniden yazma veya yeniden yönlendirici - hxxps://l[.]wl[.]co/l?u= - ve ardından gerçek kimlik avı URL'si - hxxps://helperlivesback['i kullanıyor. Pacag, ]ml/5372823 — URL'nin sorgu bölümünde bulunduğunu açıkladı.
"Bu, yasal alan adlarını kullanarak diğer URL'lere bu şekilde yönlendirme yapan, giderek yaygınlaşan bir kimlik avı hilesidir" diye yazdı.
Araştırmacılar, bir kullanıcı düğmeye tıkladığında varsayılan tarayıcısını açtığını ve kullanıcıyı amaçlanan kimlik avı sayfasına yönlendirdiğini, kurbanın bunu takip etmesi durumunda kullanıcı ve şifre verilerini çalmak için birkaç adım attığını söyledi.
Adım Adım Veri Toplama
Araştırmacılar, öncelikle kurbanın kullanıcı adını girmesi durumunda verilerin "POST" parametreleri aracılığıyla sunucuya gönderildiğini söyledi. Kullanıcıdan "Devam" düğmesini tıklaması istenir ve bu yapılırsa, sayfada, Instagram kullanıcı adını belirtmek için kullanılan tipik "@" simgesinin önüne eklenen, yazılan kullanıcı adı görüntülenir. Araştırmacılar, daha sonra sayfanın bir şifre istediğini ve girilmesi durumunda saldırganın kontrol ettiği sunucuya da gönderildiğini söyledi.
Pacag, saldırının bu noktasında işlerin tipik bir kimlik avı sayfasından biraz farklılaştığını ve genellikle bir kişinin kullanıcı adını ve şifresini uygun alanlara girmesiyle tatmin olduğunu söyledi.
Instagram kampanyasındaki saldırganlar bu adımda durmuyor; bunun yerine kullanıcıdan şifresini bir kez daha yazmasını ve ardından kişinin hangi şehirde yaşadığını soran bir soru alanını doldurmasını istiyorlar. Pacag, bu verilerin de diğerleri gibi "POST" yoluyla sunucuya geri gönderildiğini açıkladı.
Araştırmacılar, son adımda kullanıcıdan kendi telefon numarasını girmesinin istendiğini ve saldırganların muhtemelen Instagram hesabında etkinleştirilmişse iki faktörlü kimlik doğrulamayı (2FA) geçmek için kullanabileceğini söyledi. Saldırganların bu bilgileri Dark Web'de de satabileceğini, bu durumda bu bilgilerin gelecekte telefon görüşmeleri yoluyla başlatılan dolandırıcılıklarda kullanılabileceğini belirttiler.
Tüm bu kişisel bilgiler saldırganlar tarafından toplandıktan sonra kurban, sonunda Instagram'ın gerçek yardım sayfasına yönlendirilir ve dolandırıcılığı başlatmak için kullanılan orijinal telif hakkı raporlama sürecinin başlangıcına yönlendirilir.
Yeni Kimlik Avı Taktiklerini Tespit Etme
URL yönlendirme ve diğer özelliklerle daha kaçamak taktikler Araştırmacılar, kimlik avı kampanyalarında tehdit aktörleri tarafından ele geçirildiğinden, hem e-posta güvenlik çözümleri hem de kullanıcılar için hangi e-postaların meşru, hangilerinin kötü niyetli niyet ürünü olduğunu tespit etmenin zorlaştığını söyledi.
Pacag, "Amaçlanan kimlik avı URL'leri çoğunlukla URL sorgu parametrelerine gömülü olduğundan çoğu URL algılama sisteminin bu aldatıcı uygulamayı tanımlaması zor olabilir" dedi.
Araştırmacılar, teknoloji, kimlik avı yapanların sürekli değişen taktiklerini yakalayıncaya kadar, e-posta kullanıcılarının - özellikle kurumsal ortamda - herhangi bir şekilde şüpheli görünen iletiler söz konusu olduğunda kandırılmamak için daha yüksek düzeyde uyarıda bulunmaları gerektiğini söyledi.
Kullanıcıların bunu yapabilmesinin yolları, mesajlardaki URL'lerin, onları gönderdiğini iddia eden şirket veya hizmetin meşru URL'leriyle eşleşip eşleşmediğini kontrol etmektir; yalnızca insanların daha önce iletişim kurduğu güvenilir kullanıcılardan gelen e-postalardaki bağlantılara tıklamak; ve bir e-postadaki gömülü veya ekli herhangi bir bağlantıya tıklamadan önce BT desteğiyle kontrol etmek.
