W ostatnich tygodniach pojawiła się nowa, ciekawa kampania phishingowa na Instagramie. Oszustwo zostało po raz pierwszy odkryte i opisane przez VadeSecure. Atak jako główny czynnik socjotechniczny wykorzystuje program weryfikacji konta Instagram, czyli niebieską odznakę, którą zespół Instagrama nadaje zaufanym twórcom na swojej platformie. Sam niebieski znaczek jest jedną z najbardziej pożądanych rzeczy w dzisiejszych mediach społecznościowych, a zasady jego otrzymywania okryte są tajemnicą. Nie da się go kupić ani zdobyć w żaden nieoficjalny sposób, co dodaje mu smaczku i ekskluzywności.
Cyberprzestępcy wykorzystali ten fakt i wymierzyli ataki w konkretnych użytkowników platformy, którzy prawdopodobnie starają się właśnie o weryfikację swoich profili. Celem phishingu jest oczywiście zdobycie poświadczeń do kont znanych osób, a następnie odsprzedanie ich na czarnym rynku.
Wiadomość phishingowa zawiera temat „ig bluebadge info” oraz nazwę nadawcy „ig-badges”. Treść maila wyjaśnia, że profil ofiary na Instagramie został sprawdzony i uznany za kwalifikujący się do weryfikacji. Logotypy Instagrama i Facebooka w nagłówku i stopce wiadomości próbują stworzyć wrażenie legitymizacji, podobnie jak użycie rzeczywistego adresu konta użytkownika. Pokazuje to, że hakerzy zrobili rozpoznanie celów przed atakiem.
Atakujący mają nadzieję, że takie taktyki zamaskują oznaki oszustwa, w tym cały kontekst wiadomości e-mail. Jak już wspominaliśmy, program weryfikacji na Instagramie polega na tym, że właściciele profili ubiegający się o reklamowaną niebieską plakietkę nie kontaktują się z nikim bezpośrednio. Firma Meta rezerwuje weryfikację dla osób publicznych i celebrytów, nie dotyczy to zatem przeciętnych użytkowników. Krótki research wykazał, że omawiany e-mail pochodzi z adresu IP w Turcji.
Inne oznaki sugerują klasyczny przypadek phishingu. Błędy gramatyczne i literówki pojawiają się w tekście kilka razy – to wizytówka zagranicznych „złych aktorów” – w tym fraza „Thanks, you instagram team”. Treść zachęca również do szybkiego działania, informując ofiarę: „Jeśli zignorujesz tę wiadomość, formularz zostanie trwale usunięty w ciągu 48 godzin”. Jest to kolejny znak rozpoznawczy złośliwych maili i sztuczek socjotechniki. Użytkownik działający pod presją i dodatkowo podekscytowany możliwością otrzymania nagrody nie zwraca uwagi na błędy oraz podejrzane frazy.
Hakerzy liczą, że ofiara kliknie niebieski przycisk „Badge Form”. Kiedy to zrobi, uruchamia się złośliwa witryna z nazwą domeny „teamcorrectionbadges”, zabezpieczona legalnym certyfikatem SSL. Atakujący po raz kolejny próbują stworzyć iluzję autentyczności, wyświetlając markowe kolory Instagrama i logo firmy macierzystej Meta. Popełniają też kilka błędów gramatycznych i interpunkcyjnych:
Formularz prosi adresata o wpisanie swojej nazwy profilu. Po przesłaniu tej informacji strona odświeża się, aby wyświetlić okno z polami na imię i nazwisko ofiary, adres e-mail i numer telefonu – jak pokazano poniżej.
Po wprowadzeniu danych strona znów się odświeża, wyświetlając kolejne pole – na hasło użytkownika. Oczywiście wpisywane wartości nie są w żaden sposób weryfikowane i równie dobrze można podać dane nieistniejącego konta.
Gdy ofiara prześle powyższe informacje, strona ponownie się zaktualizuje, tym razem wy-świetlając komunikat potwierdzający: „Dziękujemy za weryfikację konta. Nasz zespół skon-taktuje się z Tobą jak najszybciej. (Średnio 48 godzin)”. Powiadomienie brzmi całkiem au-tentycznie. Jeśli ktoś wykonał wszystkie kroki, zapewne nawet nie zorientuje się, że właśnie przesłał swój login i hasło na serwer atakującego.
Kampania phishingowa rozpoczęła się podobno już 22 lipca 2022 r., a liczba zgłoszonych złośliwych maili czasami przekraczała 1000 dziennie. Obecnie wygląda na to, że szkodliwa akcja ma niewielką skalę, co potwierdzałoby ukierunkowany charakter ataków.
Media społecznościowe takie jak Instagram i Facebook zapewniają hakerom skuteczne plat-formy do phishingu, uzbrajając ich w bogactwo informacji o przyszłych ofiarach. Chociaż atakujący mieli już motywację do podszywania się pod rozpoznawalne marki social mediów, teraz dostrzegli kolejną okazję w zapotrzebowaniu na instagramowy znaczek weryfikacji. Wiele osób uważa niebieską plakietkę za oznakę wysokiego statusu społecznego, co może zaciemnić ich osąd, gdy pojawi się możliwość jej zdobycia. Dodatkowo weryfikacja konta pozostaje tajemniczym i niezrozumiałym procesem, znanym tylko kontrolującym ją platfor-mom. Sprawia to, że ofiary są bardziej skłonne ufać e-mailom i stronom internetowym opracowanym przez oszustów.