Non interagire con il messaggio "Modulo di obiezione sul copyright" falso di Instagram
I phisher al momento sembrano essere su un piano e sembrano essere particolarmente interessati agli account sui social media. Vi abbiamo già parlato della campagna che ha colpito numerosi creatori di contenuti YouTube famosi, bloccandoli fuori dai loro canali e ieri il team di Sophos ha discusso di un altro attacco di phishing intelligente, questa volta rivolto agli utenti di Instagram.
Questo tipo di cose non è poi così sorprendente. In effetti, gli Instagrammer vengono phishing ogni singolo giorno. Il motivo per cui questo particolare attacco ha reso la notizia, tuttavia, sta nel fatto che è ben progettato e molto più convincente rispetto ad alcuni dei precedenti sforzi degli imbroglioni.
Table of Contents
ingegneria sociale
Come molti di voi probabilmente sanno, la parte più difficile del successo di un attacco di phishing è convincere gli utenti a fornire volontariamente le proprie credenziali di accesso. I truffatori hanno usato diverse tecniche di social engineering per guadagnare la fiducia delle persone e bisogna dire che alcuni hanno dimostrato di essere più convincenti di altri. Lo scenario del attuale attacco agli Instagrammer, ad esempio, è piuttosto credibile.
email è progettata per ingannare la vittima nel pensare che Instagram ha trovato contenuti sul proprio account che violano il copyright di qualcun altro. Il messaggio dice che il profilo offensivo sarà "sospeso" e unico modo per fermarlo è opporsi alla violazione del copyright seguendo un link nel e-mail. Ecco intero messaggio:
Ciao [NAME]
Siamo spiacenti, abbiamo trovato contenuti nel tuo account che violeranno le nostre leggi sul copyright.
Il tuo account verrà sospeso entro 24 ore.
Se ritieni che abbiamo commesso un errore, fai clic sul pulsante "Modulo di opposizione al copyright" e compila il modulo.
Ti risponderemo via e-mail 24 ore dopo aver completato il modulo.
Come puoi vedere, il messaggio è pieno di errori grammaticali, ma che ci crediate o no, non è così male come le e-mail che abbiamo visto in altre campagne. E mentre è improbabile che vengano scambiati per i professori di Harvard, i truffatori sanno come formattare un ;e-mail. Il logo è nel posto giusto, i caratteri sembrano corretti e la stampa fine è difficile da leggere come ti aspetteresti. Tutto ciò, unito al fatto che le vittime hanno paura di pensare che stanno per perdere accesso ai loro account, potrebbero portarli a trascurare gli errori grammaticali e fare clic sul pulsante "Modulo di obiezione sul copyright".
esecuzione tecnica
Gli utenti che fanno clic atterreranno su una pagina che ancora una volta fa un ottimo lavoro nel imitare la vera interfaccia di Instagram. Per essere al sicuro, tuttavia, i phisher hanno fatto un altro passo per garantire che gli utenti non sospettassero nulla. Hanno registrato un dominio gratuito con un TLD .cf per ospitare la truffa e hanno creato un paio di sottodomini, il che significa che URL di phishing reale era simile al seguente:
https:. //instagram.copyrightinfringementappeal [REDACTED] .cf
Da un lato, "Instagram" è la prima parola che gli utenti vedono e che potrebbe tranquillizzarsi. Inoltre, grazie ai sottodomini, le persone che utilizzano risoluzioni dello schermo inferiori non possono vedere intero URL.
Alcuni di voi potrebbero anche aver notato il fatto che la pagina di phishing viene consegnata tramite HTTPS . In passato abbiamo accennato al fatto che le squadre di phishing che fanno sul serio la loro attività tendono a installare certificati SSL sulle loro pagine Web fasulle, il che dimostra che le persone che gestiscono questa particolare campagna non stanno facendo casino.
Una volta atterrati sulla pagina di phishing, gli utenti devono affrontare un avviso che ribadisce più o meno ciò che è già stato detto nel e-mail nello stesso inglese tut altro che perfetto, e sotto di esso hanno un pulsante che presumibilmente consentirebbe loro di presentare ricorso contro la violazione del copyright nei loro confronti. Se fanno clic su di esso, verranno indirizzati a una pagina che chiede loro il loro compleanno, il loro nome utente e la loro password. Gli esperti di Sophos hanno notato che la pagina di phishing registra solo le credenziali di accesso e scarta le date di nascita.
Dopo che le vittime hanno inviato i loro nomi utente e password, vengono condotte a una schermata di caricamento che è seguita da una pagina che dice loro che la loro obiezione sul copyright è stata ricevuta e che saranno contattati entro 24 ore. Infine, vengono reindirizzati al vero modulo di accesso di Instagram.
Più campagne di phishing in esecuzione contemporaneamente
Questo non è unico attacco di phishing agli utenti di Instagram che gli esperti di Sophos hanno descritto recentemente. Lunedì hanno discusso di u altra campagna che stava ingannando le vittime con aiuto di falsi codici 2FA . Alcuni dettagli potrebbero anche suggerire che le due operazioni sono eseguite dallo stesso gruppo. Ancora una volta, il dominio gratuito che ospita il modulo di phishing ha un TLD .cf e un certificato SSL e, sebbene gli errori grammaticali siano minori, le e-mail di phishing e i moduli di accesso sono ben progettati e sembrano praticamente identici alla realtà.
Non esagereremo se diciamo che rispetto alla squadra di phishing media, le persone che gestiscono queste due campagne hanno un livello di sofisticazione più elevato. Anche attacco più ponderato non ti influenzerà se tieni a mente alcuni principi di base. Stai lontano dai link che ricevi nella posta in arrivo il più possibile e, se devi fare clic su di essi, passa con il mouse sopra di essi e ricontrolla URL a cui ti stai dirigendo. Prendi ogni avvertimento con un pizzico di sale, specialmente se e-mail sembra particolarmente urgente e assicurati di saperne di più su ciascuna delle procedure dal fornitore di servizi online stesso, non da un e-mail appena arrivata nella tua casella di posta.
