Tehdit aktörleri, hesapları ele geçirmek veya gelecekteki saldırılarda kullanılabilecek veya Dark Web’de satılabilecek hassas bilgileri çalmak için URL yönlendirmesini kullanan yeni bir kimlik avı kampanyasında Instagram kullanıcılarını hedefliyor.
Trustwave SpiderLabs araştırmacıları, kampanyanın bir cazibe olarak, kullanıcıların telif hakkı ihlali yapıyor olabileceğine dair bir öneri kullanıyor – sosyal medya etkileyicileri, işletmeler ve hatta Instagram’daki ortalama hesap sahipleri arasında büyük bir endişe kaynağı. bir analiz 27 Ekim’de Dark Reading ile paylaşıldı.
Araştırmacılar, bu yılın başlarında, yine Instagram’ın ana şirketi Meta’nın bir markası olan Facebook kullanıcılarını hedefleyen ayrı bir kampanyada, bu tür “kimlik hırsızlığı”nın, kullanıcıların topluluk standartlarını ihlal ettiğini öne süren e-postalarla görüldüğünü söyledi.
Trustwave SpiderLabs güvenlik araştırmacısı Homer Pacag, gönderide “Bu tema yeni değil ve geçen yıl içinde zaman zaman gördük” dedi. “Yine aynı telif hakkı ihlali hilesi, ancak bu sefer saldırganlar kurbanlarından daha fazla kişisel bilgi alıyor ve kimlik avı URL’lerini gizlemek için kaçırma tekniklerini kullanıyor.”
Bu kaçırma, internet kullanıcıları daha bilinçli hale geldikçe, kimlik avı tekniklerini daha sinsi ve daha kaçamak için geliştiren tehdit aktörleri arasında ortaya çıkan bir taktik olan URL yeniden yönlendirmesi biçiminde gelir.
Kullanıcının bir kimlik avı sayfasına ulaşmak için tıklaması gereken kötü amaçlı bir dosya eklemek yerine (birçok kişinin zaten şüpheli göründüğü bir şey) URL yeniden yönlendirmesi, bir iletide meşru görünen ancak nihayetinde kimlik bilgilerini çalan kötü amaçlı bir sayfaya yol açan gömülü bir URL içerir. yerine.
Sahte Telif Hakkı Raporu
Araştırmacıların keşfettiği Instagram kampanyası, bir kullanıcıya, telif hakkını ihlal eden hesap hakkında şikayetler alındığını ve kullanıcı hesabını kaybetmek istemiyorsa Instagram’a itiraz edilmesi gerektiğini bildiren bir e-posta ile başlar.
Herkes dosyalayabilir telif hakkı raporu hesap sahibi, fotoğraflarının ve videolarının diğer Instagram kullanıcıları tarafından kullanıldığını keşfederse – sosyal medya platformunda sıklıkla olan bir şey. Pacag, kampanyadaki saldırganların, kurbanları kullanıcı kimlik bilgilerini ve kişisel bilgilerini vermeleri için kandırmaya çalışmak için bundan yararlandığını yazdı.
Kimlik avı e-postaları, kullanıcılara formu doldurmak için bağlantıya tıklayabileceklerini ve daha sonra bir Instagram temsilcisi tarafından iletişime geçileceğini bildiren bir “itiraz formu” bağlantısı içeren bir düğme içerir.
Araştırmacılar e-postayı bir metin düzenleyicide analiz ettiler ve kullanıcıları Instagram sitesine meşru bir rapor doldurmaları için yönlendirmek yerine URL yönlendirmesi kullandığını buldular. Özellikle, bağlantı, WhatsApp’a ait bir siteye bir URL yeniden yazma veya yeniden yönlendirici kullanır – hxxps://l[.]wl[.]co/l?u= — ardından gerçek kimlik avı URL’si gelir — hxxps://helperlivesback[.]Pacag, ml/5372823 — URL’nin sorgu bölümünde bulunduğunu açıkladı.
“Bu, diğer URL’lere bu şekilde yönlendirmek için meşru etki alanlarını kullanan, giderek yaygınlaşan bir kimlik avı hilesidir” diye yazdı.
Araştırmacılar, bir kullanıcı düğmeyi tıklarsa, varsayılan tarayıcısını açar ve kullanıcıyı amaçlanan kimlik avı sayfasına yönlendirir ve kurban bunu takip ederse kullanıcı ve şifre verilerini çalmak için birkaç adımdan geçer.
Adım Adım Veri Toplama
Araştırmacılar, ilk olarak, kurban kullanıcı adını girerse, verilerin “POST” parametreleri aracılığıyla sunucuya gönderildiğini söyledi. Bir kullanıcıdan bir “Devam” düğmesini tıklaması istenir ve bu yapılırsa, sayfa, artık bir Instagram kullanıcı adını belirtmek için kullanılan tipik “@” sembolü ile önek olarak yazılan kullanıcı adını görüntüler. Araştırmacılar, daha sonra sayfanın, girilirse saldırgan kontrollü sunucuya da gönderilen bir şifre istediğini söyledi.
Pacag, saldırının bu noktasında, işlerin tipik bir kimlik avı sayfasından biraz saptığı ve genellikle bir kişi kullanıcı adını ve şifresini uygun alanlara girdiğinde tatmin olan bir nokta olduğunu söyledi.
Instagram kampanyasındaki saldırganlar bu adımda durmuyor; bunun yerine kullanıcıdan bir kez daha şifresini girmesini ve ardından kişinin hangi şehirde yaşadığını soran bir soru alanını doldurmasını isterler. Pacag, diğerleri gibi bu verilerin de “POST” yoluyla sunucuya geri gönderildiğini açıkladı.
Araştırmacılar, son adımın kullanıcıdan kendi telefon numarasını doldurmasını ister; bu, muhtemelen saldırganların bir Instagram hesabında etkinleştirilmişse iki faktörlü kimlik doğrulamasını (2FA) geçmek için kullanabileceğini söyledi. Saldırganlar bu bilgiyi Dark Web’de de satabilirler, bu durumda telefon görüşmeleri yoluyla başlayacak olan gelecekteki dolandırıcılıklarda kullanılabilirler.
Tüm bu kişisel bilgiler saldırganlar tarafından toplandıktan sonra, kurban nihayet Instagram’ın gerçek yardım sayfasına yönlendirilir ve dolandırıcılığı başlatmak için kullanılan orijinal telif hakkı raporlama sürecinin başlangıcına yönlendirilir.
Yeni Kimlik Avı Taktiklerini Tespit Etme
Araştırmacılar, URL yönlendirmesi ve kimlik avı kampanyalarında tehdit aktörleri tarafından alınan diğer daha kaçma taktikleri ile, hem e-posta güvenlik çözümleri hem de kullanıcılar için hangi e-postaların meşru ve hangilerinin kötü niyetli bir niyetin ürünü olduğunu tespit etmenin zorlaştığını söyledi.
Pacag, “Hedeflenen kimlik avı URL’leri çoğunlukla URL sorgu parametrelerine yerleştirildiğinden, çoğu URL algılama sisteminin bu aldatıcı uygulamayı tanımlaması zor olabilir.” Dedi.
Araştırmacılar, teknoloji kimlik avcılarının sürekli değişen taktiklerini yakalayana kadar, özellikle kurumsal bir ortamda e-posta kullanıcılarının kendilerinin, herhangi bir şekilde şüpheli görünen iletiler söz konusu olduğunda, kandırılmamak için daha yüksek derecede uyarıda bulunmaları gerektiğini söyledi.
Kullanıcıların bunu yapabilmelerinin yolları, mesajlara dahil edilen URL’lerin, onları gönderdiğini iddia eden şirket veya hizmetin yasal URL’leriyle eşleşip eşleşmediğini kontrol etmektir; yalnızca insanların daha önce iletişim kurduğu güvenilir kullanıcılardan gelen e-postalardaki bağlantılara tıklamak; ve bir e-postadaki herhangi bir gömülü veya ekli bağlantıya tıklamadan önce BT desteği ile kontrol edin.
