Зловмисники по-новому націлюються на користувачів Instagram фішинг-кампанія який використовує переспрямування URL-адрес, щоб заволодіти обліковими записами або викрасти конфіденційну інформацію, яку можна використати в майбутніх атаках або продати в Dark Web.
Як приманку в кампанії використовується припущення про те, що користувачі можуть порушувати авторські права — це велике занепокоєння серед впливові соціальні медіа, компанії та навіть пересічний власник облікового запису в Instagram, дослідники з Trustwave SpiderLabs виявили в аналіз поділився з Dark Reading 27 жовтня.
Цей тип «фішингу порушення» також спостерігався на початку цього року в окремій кампанії націлювання на користувачів Facebook — бренд, також підпорядкований материнській компанії Instagram Meta — з електронними листами про те, що користувачі порушили стандарти спільноти, кажуть дослідники.
«Ця тема не нова, і ми час від часу бачили її протягом останнього року», – написав у дописі Гомер Пакаг, дослідник безпеки Trustwave SpiderLabs. «Це знову той самий трюк із порушенням авторських прав, але цього разу зловмисники отримують більше особистої інформації від своїх жертв і використовують методи ухилення, щоб приховати фішингові URL-адреси».
Таке ухилення відбувається у формі перенаправлення URL-адреси, тактики, що з’являється у загрозах розвивають свої методи фішингу бути підступнішими та ухильнішими, оскільки користувачі Інтернету стають більш кмітливими.
Замість того, щоб вкладати шкідливий файл, на який користувач повинен натиснути, щоб перейти на фішингову сторінку – те, що багато людей вже знають, здається підозрілим – переспрямування URL-адреси включає в повідомлення вбудовану URL-адресу, яка виглядає легітимною, але в кінцевому підсумку веде на шкідливу сторінку, яка викрадає облікові дані замість цього.
Підроблений звіт про авторські права
Кампанія в Instagram, яку виявили дослідники, починається з електронного листа користувачеві, в якому його або її сповіщають про те, що отримані скарги про порушення авторських прав в обліковому записі, і що звернення до Instagram необхідно, якщо користувач не хоче втратити обліковий запис.
Будь-хто може подати a звіт про авторські права з Instagram, якщо власник облікового запису виявляє, що його фотографії та відео використовуються іншими користувачами Instagram — те, що часто трапляється на платформі соціальних мереж. Зловмисники в кампанії користуються цим, щоб спробувати обманом змусити жертв надати свої облікові дані та особисту інформацію, написав Пакаг.
Фішингові електронні листи містять кнопку з посиланням на «форму апеляції», яка інформує користувачів, що вони можуть натиснути посилання, щоб заповнити форму, а пізніше з ними зв’яжеться представник Instagram.
Дослідники проаналізували електронний лист у текстовому редакторі та виявили, що замість того, щоб спрямовувати користувачів на сайт Instagram для заповнення законного звіту, він використовує перенаправлення URL-адреси. Зокрема, посилання використовує перезапис URL-адреси або переспрямування на сайт, який належить WhatsApp — hxxps://l[.]wl[.]co/l?u= — за яким іде справжня фішингова URL-адреса — hxxps://helperlivesback[. ]ml/5372823 — знайдено в частині запиту URL-адреси, пояснив Пакаг.
«Це все більш поширений фішинговий трюк, який використовує законні домени для перенаправлення на інші URL-адреси таким чином», — написав він.
Якщо користувач натискає кнопку, він відкриває його або її браузер за замовчуванням і перенаправляє користувача на заплановану фішингову сторінку, пройшовши кілька кроків, щоб остаточно викрасти дані користувача та пароля, якщо жертва продовжить, кажуть дослідники.
Покроковий збір даних
По-перше, якщо жертва вводить своє ім’я користувача, дані надсилаються на сервер через параметри форми «POST», кажуть дослідники. Користувачеві пропонується натиснути кнопку «Продовжити», і якщо це буде зроблено, на сторінці відобразиться введене ім’я користувача, тепер із типовим символом «@», який використовується для позначення імені користувача Instagram. Потім сторінка запитує пароль, який у разі введення також надсилається на контрольований зловмисником сервер, кажуть дослідники.
Саме на цьому етапі атаки все дещо відрізняється від типової фішингової сторінки, яка зазвичай закривається, коли людина вводить своє ім’я користувача та пароль у відповідні поля, сказав Пакаг.
На цьому зловмисники в кампанії Instagram не зупиняються; замість цього вони просять користувача ще раз ввести свій пароль, а потім заповнити поле запитання, у якому місті проживає ця особа. Ці дані, як і решта, також надсилаються назад на сервер через «POST», — пояснив Пакаг.
На останньому кроці користувачеві пропонується ввести свій номер телефону, який, ймовірно, можуть використовувати зловмисники, щоб пройти двофакторну аутентифікацію (2FA), якщо її ввімкнено в обліковому записі Instagram, кажуть дослідники. Зловмисники також можуть продавати цю інформацію в Dark Web, і в цьому випадку її можна використовувати для майбутніх шахрайств, які починаються через телефонні дзвінки, зазначили вони.
Коли зловмисники збирають всю цю особисту інформацію, жертва нарешті перенаправляється на справжню сторінку довідки Instagram і починає автентичний процес звітування про авторські права, який використовується для ініціювання шахрайства.
Виявлення нових тактик фішингу
З перенаправленням URL та іншим більш ухильну тактику Дослідники стверджують, що, захоплюючись зловмисниками у фішингових кампаніях, стає важче виявити — як для рішень безпеки електронної пошти, так і для користувачів — які електронні листи є законними, а які є продуктом зловмисного наміру.
«Більшості систем виявлення URL-адрес може бути важко ідентифікувати цю оманливу практику, оскільки передбачувані фішингові URL-адреси вбудовані в основному в параметри запиту URL-адреси», — сказав Пакаг.
За словами дослідників, доки технологія не наздожене тактику фішерів, що постійно змінюється, самі користувачі електронної пошти — особливо в корпоративному середовищі — потрібно підтримувати вищий ступінь пильності, коли справа доходить до повідомлень, які здаються підозрілими, щоб не бути обдуреними.
Користувачі можуть зробити це, перевіривши, чи URL-адреси, включені в повідомлення, відповідають законним URL-адресам компанії чи служби, які стверджують, що їх надсилають; лише натискання посилань в електронних листах від довірених користувачів, з якими люди спілкувалися раніше; і зверніться до ІТ-підтримки, перш ніж натискати будь-яке вбудоване чи вкладене посилання в електронному листі.
