Não interaja com a mensagem 'Formulário de objeção de direitos autorais' do Instagram falso
Os phishers parecem estar em alta no momento e parecem estar especialmente interessados em contas de mídia social. Já falamos sobre a campanha que atingiu vários criadores de conteúdo populares do YouTube, bloqueando-os em seus canais e, ontem, a equipe da Sophos discutiu outro ataque inteligente de phishing, desta vez destinado a usuários do Instagram.
Esse tipo de coisa não é realmente tão surpreendente. De fato, os Instagrammers são phishing todos os dias. A razão pela qual esse ataque em particular tornou a notícia, no entanto, está no fato de que ela é bem projetada e muito mais convincente em comparação com alguns dos esforços anteriores dos bandidos.
Índice
A engenharia social
Como muitos de vocês provavelmente sabem, a parte mais difícil de realizar um ataque de phishing bem-sucedido é convencer os usuários a doar voluntariamente suas credenciais de login. Os bandidos usaram várias técnicas diferentes de engenharia social para ganhar a confiança das pessoas, e deve-se dizer que algumas provaram ser mais convincentes do que outras. O cenário do atual ataque aos Instagrammers, por exemplo, é bastante crível.
O e-mail foi projetado para enganar a vítima, pensando que o Instagram encontrou conteúdo em sua conta que viola os direitos autorais de outra pessoa. A mensagem diz que o perfil ofensivo será "suspenso", e a única maneira de impedir isso é se opor à violação de direitos autorais seguindo um link no e-mail. Aqui está a mensagem inteira:
Olá [NAME]
Lamentamos, mas encontramos na sua conta conteúdo que violará nossas leis de direitos autorais.
Nós sua conta será suspensa dentro de 24 horas.
Se você acha que cometemos um erro, clique no botão "Formulário de objeção de direitos autorais" e preencha o formulário.
Responderemos por e-mail 24 horas após o preenchimento do formulário.
Como você pode ver, a mensagem está repleta de erros gramaticais, mas, acredite ou não, não é tão ruim quanto os e-mails que vimos em outras campanhas. E, embora seja improvável que eles sejam confundidos com os professores de Harvard, os bandidos sabem como formatar um email. O logotipo está no lugar certo, as fontes parecem corretas e as letras miúdas são tão difíceis de ler quanto você esperaria. Tudo isso, juntamente com o fato de as vítimas terem medo de perder o acesso às suas contas, pode levá-las a ignorar os erros gramaticais e clicar no botão "Formulário de objeção de direitos autorais".
A execução técnica
Os usuários que clicarem entrarão em uma página que mais uma vez faz um bom trabalho em imitar a interface real do Instagram. Para garantir a segurança, os phishers deram mais um passo para garantir que os usuários não suspeitem de nada. Eles registraram um domínio gratuito com um TLD .cf para hospedar o golpe e criaram alguns subdomínios, o que significa que o URL de phishing real tinha algo parecido com isto:
https: //instagram.copyrightinfringementappeal. [REDACTED] .cf
Por um lado, "Instagram" é a primeira palavra que os usuários veem, o que poderia tranqüilizar sua mente.. Além disso, graças aos subdomínios, as pessoas que usam resoluções de tela mais baixas não podem ver o URL inteiro.
Alguns de vocês também devem ter notado o fato de que a página de phishing é entregue por HTTPS . Mencionamos no passado que as equipes de phishing que levam a sério seus negócios tendem a instalar certificados SSL em suas páginas da web falsas, o que mostra que as pessoas que estão executando essa campanha em particular não estão brincando.
Quando chegam à página de phishing, os usuários são confrontados com um aviso que reitera mais ou menos o que já foi dito no e-mail no mesmo inglês menos do que perfeito e, abaixo dele, eles têm um botão que supostamente lhes permitirá recorrer da reivindicação de violação de direitos autorais contra eles. Se clicarem nele, serão direcionados para uma página que solicita o aniversário, o nome de usuário e a senha. Os especialistas da Sophos observaram que a página de phishing registra apenas as credenciais de login e descarta as datas de nascimento.
Depois que as vítimas enviam seus nomes de usuário e senhas, elas são exibidas em uma tela de carregamento, seguida por uma página informando que suas objeções de direitos autorais foram recebidas e que serão contatadas em 24 horas. Por fim, eles são redirecionados para o formulário de login real do Instagram.
Várias campanhas de phishing em execução simultaneamente
Este não é o único ataque de phishing aos usuários do Instagram que os especialistas da Sophos detalharam recentemente. Na segunda-feira, eles discutiram outra campanha que enganava as vítimas com a ajuda de códigos 2FA falsos. Alguns detalhes podem até sugerir que as duas operações são executadas pelo mesmo grupo. Mais uma vez, o domínio gratuito que hospeda o formulário de phishing possui um TLD .cf e um certificado SSL e, embora os erros gramaticais sejam menores, os e-mails de phishing e os formulários de login são bem projetados e parecem praticamente idênticos aos reais.
Não exageraremos se dissermos que, em comparação com a equipe média de phishing, as pessoas que executam essas duas campanhas têm um nível mais alto de sofisticação. Mesmo o ataque mais bem pensado não afetará você, se você tiver alguns princípios básicos em mente. Fique longe dos links recebidos na sua caixa de entrada o máximo possível e, se precisar clicar neles, passe o mouse sobre eles com o mouse e verifique novamente o URL para o qual está indo. Tome todos os avisos com um pouco de sal, especialmente se o email parecer particularmente urgente, e não deixe de aprender mais sobre cada um dos procedimentos do próprio provedor de serviços on-line, não de um email que acabou de chegar à sua caixa de entrada.
