Những kẻ đe dọa đang nhắm mục tiêu vào người dùng Instagram theo cách mới chiến dịch lừa đảo sử dụng chuyển hướng URL để chiếm đoạt tài khoản hoặc đánh cắp thông tin nhạy cảm có thể được sử dụng trong các cuộc tấn công trong tương lai hoặc được bán trên Dark Web.
Để thu hút, chiến dịch sử dụng gợi ý rằng người dùng có thể đang vi phạm bản quyền — một mối lo ngại lớn trong số người có ảnh hưởng truyền thông xã hội, doanh nghiệp và thậm chí cả chủ tài khoản trung bình trên Instagram, các nhà nghiên cứu từ Trustwave SpiderLabs tiết lộ trong một phân tích được chia sẻ với Dark Reading vào ngày 27 tháng XNUMX.
Kiểu “lừa đảo vi phạm” này cũng đã được phát hiện vào đầu năm nay, trong một chiến dịch riêng biệt nhắm mục tiêu người dùng Facebook – một thương hiệu cũng trực thuộc công ty mẹ Instagram Meta – với các email gợi ý người dùng đã vi phạm các tiêu chuẩn cộng đồng, các nhà nghiên cứu cho biết.
Homer Pacag, nhà nghiên cứu bảo mật của Trustwave SpiderLabs, viết trong bài đăng: “Chủ đề này không mới và chúng tôi đã thấy nó thường xuyên trong năm qua”. “Lại là thủ thuật vi phạm bản quyền tương tự, nhưng lần này, những kẻ tấn công lấy được nhiều thông tin cá nhân hơn từ nạn nhân và sử dụng các kỹ thuật trốn tránh để ẩn các URL lừa đảo.”
Sự trốn tránh đó xảy ra dưới hình thức chuyển hướng URL, một chiến thuật mới nổi của những kẻ đe dọa đang phát triển các kỹ thuật lừa đảo của họ trở nên lén lút và lảng tránh hơn khi người dùng Internet ngày càng hiểu biết hơn.
Thay vì đính kèm một tệp độc hại mà người dùng phải nhấp vào để truy cập trang lừa đảo — điều mà nhiều người đã biết có vẻ đáng ngờ — chuyển hướng URL bao gồm trong thông báo một URL nhúng có vẻ hợp pháp nhưng cuối cùng lại dẫn đến một trang độc hại đánh cắp thông tin đăng nhập thay vì.
Báo cáo bản quyền không có thật
Chiến dịch Instagram mà các nhà nghiên cứu phát hiện bắt đầu bằng một email gửi tới người dùng thông báo cho họ rằng họ đã nhận được khiếu nại về việc tài khoản vi phạm bản quyền và cần phải khiếu nại lên Instagram nếu người dùng không muốn mất tài khoản.
Bất cứ ai cũng có thể nộp đơn báo cáo bản quyền với Instagram nếu chủ tài khoản phát hiện ra rằng ảnh và video của họ đang được người dùng Instagram khác sử dụng - điều thường xuyên xảy ra trên nền tảng truyền thông xã hội. Pacag viết: Những kẻ tấn công trong chiến dịch đang lợi dụng điều này để cố lừa nạn nhân cung cấp thông tin xác thực người dùng và thông tin cá nhân của họ.
Các email lừa đảo bao gồm một nút có liên kết đến “biểu mẫu khiếu nại”, thông báo cho người dùng rằng họ có thể nhấp vào liên kết để điền vào biểu mẫu và sau đó sẽ được đại diện của Instagram liên hệ.
Các nhà nghiên cứu đã phân tích email trong trình soạn thảo văn bản và nhận thấy rằng, thay vì hướng người dùng đến trang Instagram để điền vào một báo cáo hợp pháp, nó lại sử dụng chuyển hướng URL. Cụ thể, liên kết sử dụng tính năng viết lại hoặc chuyển hướng URL tới một trang web do WhatsApp sở hữu — hxxps://l[.]wl[.]co/l?u= — theo sau là URL lừa đảo thực sự — hxxps://helperlivesback[. ]ml/5372823 — được tìm thấy trong phần truy vấn của URL, Pacag giải thích.
Ông viết: “Đây là một thủ đoạn lừa đảo ngày càng phổ biến, sử dụng các tên miền hợp pháp để chuyển hướng đến các URL khác theo kiểu này”.
Các nhà nghiên cứu cho biết, nếu người dùng nhấp vào nút, nó sẽ mở trình duyệt mặc định của họ và chuyển hướng người dùng đến trang lừa đảo dự định, thực hiện một số bước cuối cùng để đánh cắp dữ liệu người dùng và mật khẩu nếu nạn nhân làm theo.
Thu thập dữ liệu từng bước
Các nhà nghiên cứu cho biết đầu tiên, nếu nạn nhân nhập tên người dùng của mình, dữ liệu sẽ được gửi đến máy chủ thông qua các tham số ở dạng “POST”. Người dùng được nhắc nhấp vào nút “Tiếp tục” và nếu việc này được thực hiện, trang sẽ hiển thị tên người dùng đã nhập, hiện có tiền tố là biểu tượng “@” điển hình được sử dụng để biểu thị tên người dùng Instagram. Các nhà nghiên cứu cho biết, sau đó, trang này sẽ yêu cầu nhập mật khẩu, nếu được nhập, mật khẩu này cũng sẽ được gửi đến máy chủ do kẻ tấn công kiểm soát.
Pacag cho biết, tại thời điểm này trong cuộc tấn công, mọi thứ hơi khác so với một trang lừa đảo thông thường, điều này thường hài lòng khi một người nhập tên người dùng và mật khẩu của họ vào các trường thích hợp, Pacag nói.
Những kẻ tấn công trong chiến dịch Instagram không dừng lại ở bước này; thay vào đó, họ yêu cầu người dùng nhập mật khẩu của mình một lần nữa rồi điền vào trường câu hỏi hỏi người đó sống ở thành phố nào. Pacag giải thích rằng dữ liệu này, giống như phần còn lại, cũng được gửi trở lại máy chủ thông qua “POST”.
Các nhà nghiên cứu cho biết, bước cuối cùng sẽ nhắc người dùng điền số điện thoại của họ mà có lẽ kẻ tấn công có thể sử dụng để vượt qua xác thực hai yếu tố (2FA) nếu tính năng này được kích hoạt trên tài khoản Instagram. Họ lưu ý rằng những kẻ tấn công cũng có thể bán thông tin này trên Dark Web, trong trường hợp đó, thông tin đó có thể được sử dụng cho các hoạt động lừa đảo trong tương lai bắt đầu qua các cuộc gọi điện thoại.
Sau khi tất cả thông tin cá nhân này bị kẻ tấn công thu thập, nạn nhân cuối cùng sẽ được chuyển hướng đến trang trợ giúp thực tế của Instagram và bắt đầu quy trình báo cáo bản quyền xác thực được sử dụng để bắt đầu hành vi lừa đảo.
Phát hiện các chiến thuật lừa đảo mới
Với chuyển hướng URL và các tính năng khác nhiều chiến thuật trốn tránh hơn Các nhà nghiên cứu cho biết, bị các tác nhân đe dọa thực hiện trong các chiến dịch lừa đảo, ngày càng khó phát hiện hơn – đối với cả giải pháp bảo mật email và người dùng – email nào là hợp pháp và email nào là sản phẩm của mục đích độc hại.
Pacag cho biết: “Hầu hết các hệ thống phát hiện URL có thể khó xác định được hành vi lừa đảo này vì các URL lừa đảo có mục đích chủ yếu được nhúng trong các tham số truy vấn URL”.
Các nhà nghiên cứu cho biết, cho đến khi công nghệ bắt kịp các chiến thuật thay đổi liên tục của những kẻ lừa đảo, bản thân người dùng email - đặc biệt là trong môi trường công ty - cần phải duy trì mức độ cảnh giác cao hơn khi có những tin nhắn có vẻ đáng ngờ theo bất kỳ cách nào để tránh bị lừa.
Các cách mà người dùng có thể thực hiện việc này là kiểm tra xem các URL có trong tin nhắn có khớp với các URL hợp pháp của công ty hoặc dịch vụ tuyên bố sẽ gửi chúng hay không; chỉ nhấp vào các liên kết trong email đến từ những người dùng đáng tin cậy mà mọi người đã liên lạc trước đó; và kiểm tra với bộ phận hỗ trợ CNTT trước khi nhấp vào bất kỳ liên kết được nhúng hoặc đính kèm nào trong email.
