0
0
Os agentes de ameaças visam usuários do Instagram em uma nova campanha de phishing que usa redirecionamento de URL para assumir contas ou roubar informações confidenciais que podem ser usadas em ataques futuros ou vendidas na Dark Web.
Como isca, a campanha usa uma sugestão de que os usuários podem estar cometendo violação de direitos autorais – uma grande preocupação entre influenciadores de mídia social , empresas e até mesmo o titular médio de contas no Instagram, revelaram pesquisadores do Trustwave SpiderLabs em uma análisecompartilhada com Dark Reading em 1º de outubro. 27.
Esse tipo de “phishing de violação” também foi visto no início deste ano, em uma campanha separada direcionada aos usuários do Facebook – uma marca também sob a controladora do Instagram Meta – com e-mails sugerindo que os usuários violaram os padrões da comunidade, disseram os pesquisadores.
“Esse tema não é novo, e vimos isso de tempos em tempos no ano passado”, escreveu Homer Pacag, pesquisador de segurança do Trustwave SpiderLabs, no post. “É o mesmo truque de violação de direitos autorais novamente, mas desta vez, os invasores obtêm mais informações pessoais de suas vítimas e usam técnicas de evasão para ocultar URLs de phishing”.
Essa evasão vem na forma de redirecionamento de URL, uma tática emergente entre os agentes de ameaças que estão evoluindo suas técnicas de phishing para serem mais sorrateiras e evasivas à medida que os usuários da Internet se tornam mais experientes.
Em vez de anexar um arquivo malicioso no qual um usuário deve clicar para acessar uma página de phishing – algo que muitas pessoas já sabem que parece suspeito – o redirecionamento de URL inclui em uma mensagem um URL incorporado que parece legítimo, mas que acaba levando a uma página maliciosa que rouba credenciais em vez de.
Relatório de direitos autorais falso
A campanha do Instagram que os pesquisadores descobriram começa com um e-mail para um usuário notificando-o de que foram recebidas reclamações sobre a conta infringir direitos autorais e que um apelo ao Instagram é necessário se o usuário não quiser perder a conta.
Qualquer pessoa pode registrar uma denúncia de direitos autorais no Instagram se o proprietário da conta descobrir que suas fotos e vídeos estão sendo usados por outros usuários do Instagram – algo que acontece com frequência na plataforma de mídia social. Os invasores da campanha estão aproveitando isso para tentar enganar as vítimas para que forneçam suas credenciais de usuário e informações pessoais, escreveu Pacag.
Os e-mails de phishing incluem um botão com um link para um “formulário de apelação”, informando aos usuários que eles podem clicar no link para preencher o formulário e, posteriormente, serão contatados por um representante do Instagram.
Os pesquisadores analisaram o e-mail em um editor de texto e descobriram que, em vez de direcionar os usuários ao site do Instagram para preencher um relatório legítimo, ele emprega o redirecionamento de URL. Especificamente, o link usa uma reescrita de URL ou redirecionador para um site de propriedade do WhatsApp — hxxps://l[.]wl[.]co/l?u= — seguido pelo URL de phishing verdadeiro — hxxps://helperlivesback[. ]ml/5372823 — encontrado na parte de consulta da URL, explicou Pacag.
“Este é um truque de phishing cada vez mais comum, usando domínios legítimos para redirecionar para outros URLs dessa maneira”, escreveu ele.
Se um usuário clicar no botão, ele abre seu navegador padrão e redireciona o usuário para a página de phishing pretendida, passando por algumas etapas para roubar dados de usuário e senha se a vítima seguir adiante, disseram os pesquisadores.
Coleta de dados passo a passo
Primeiro, se a vítima digitar seu nome de usuário, os dados serão enviados ao servidor por meio dos parâmetros do formulário “POST”, disseram os pesquisadores. Um usuário é solicitado a clicar em um botão “Continuar” e, se isso for feito, a página exibe o nome de usuário digitado, agora prefixado com o símbolo “@” típico usado para significar um nome de usuário do Instagram. Em seguida, a página pede uma senha, que, se digitada, também é enviada ao servidor controlado pelo invasor, disseram os pesquisadores.
É neste ponto do ataque que as coisas se desviam ligeiramente de uma página de phishing típica, que geralmente é satisfeita quando uma pessoa insere seu nome de usuário e senha nos campos apropriados, disse Pacag.
Os atacantes da campanha do Instagram não param nesta etapa; em vez disso, eles pedem ao usuário que digite sua senha mais uma vez e, em seguida, preencha um campo de pergunta perguntando em que cidade a pessoa mora. Esses dados, como o resto, também são enviados de volta ao servidor via “POST”, explicou Pacag.
A última etapa solicita que o usuário preencha seu número de telefone, que presumivelmente os invasores podem usar para passar pela autenticação de dois fatores (2FA) se estiver ativado em uma conta do Instagram, disseram os pesquisadores. Os invasores também podem vender essas informações na Dark Web, caso em que podem ser usadas para futuros golpes iniciados por telefone, observaram.
Depois que todas essas informações pessoais são coletadas pelos invasores, a vítima é finalmente redirecionada para a página de ajuda real do Instagram e o início do processo de denúncia de direitos autorais autêntico usado para iniciar o golpe.
Detectando novas táticas de phishing
Com o redirecionamento de URL e outras táticas mais evasivas sendo tomadas por agentes de ameaças em campanhas de phishing, está ficando mais difícil detectar – tanto para soluções de segurança de e-mail quanto para usuários – quais e-mails são legítimos e quais são produto de intenção maliciosa, disseram os pesquisadores.
“Pode ser difícil para a maioria dos sistemas de detecção de URL identificar essa prática enganosa, pois os URLs de phishing pretendidos são incorporados principalmente nos parâmetros de consulta de URL”, disse Pacag.
Até que a tecnologia alcance as táticas em constante mudança dos phishers, os próprios usuários de e-mail – especialmente em um ambiente corporativo – precisam manter um nível mais alto de alerta quando se trata de mensagens que parecem suspeitas de alguma forma para evitar serem enganados, disseram os pesquisadores.
As maneiras de os usuários fazerem isso são verificando se os URLs incluídos nas mensagens correspondem aos legítimos da empresa ou serviço que afirma estar enviando-os; apenas clicar em links em e-mails provenientes de usuários confiáveis com os quais as pessoas se comunicaram anteriormente; e verificar com o suporte de TI antes de clicar em qualquer link incorporado ou anexado em um e-mail.
FONTE: DARK READING