社交平台博主们经由营造自身品牌形象来获取更多粉丝Follow,对于黑客来说,他们苦心经营形象也能被视为商品对待,经由盗取账号/個人信息来饱其私囊,近日,一名Instagram平台上粉丝超过1.5万名摄影师就遭遇此类状况,
对该大事进一步调查显示,黑客是经由网络钓鱼黑进她账户,虽说听起来似乎很简单,但咱们也发现,针对Instagram上“网红”们攻击,已经变成某個土耳其语黑客群体惯用手法,同时黑客们经由滥用Instagram账户恢复程序,让受害者们就使按正常申诉流程也要不回自己账户,咱们在研究时就曾看到过这样案例:一些在Instagram上粉丝数在1.5万至7万之间博主们,其個人资料遭到黑客攻击,且再也未能找回,受害者涵盖著名演员、歌手,以及初创公司老板等,
该团伙还从事数字勒索业务,一旦受害者试图与黑客取得联系,就会被要求支付赎金或裸照影像来赎回账户,显然,你就使真打钱或是发裸照,结果往往也大概是“财色两空”,事实上,这种针对有感召力社交媒体博主们攻击,也百分之百符合咱们之前对今年威胁形势占卜,
图1.黑客盗取Instagram個人资料流程图
攻击链
对钓鱼工具包分析显示,其主机系统会阻止来自wget请求,咱们经由欺骗运用者代理成功获得钓鱼工具,
攻击过程始于一封假装来自Instagram钓鱼邮件,内容是使得运用者验证账户,进而运用者就能获得Instagram一枚蓝色认证徽章,但须要注意是,Instagram从来只有在运用者申请之后才会实行认证,且不会向运用者索要凭证,
图2.要求运用者验证Instagram账号钓鱼邮件截图
图3.运用者被重定向到钓鱼页面〔左〕;另一個请求运用者凭证电子邮件页面〔中〕;在键入凭证并提交之后,运用者将被重定向到“信息已验证”页面〔右〕
一旦运用者单击“验证帐户”开关,将被重定向到一個钓鱼页面,要求填写生日、邮件地址、凭据,当咱们最先個次看到这些页面时,它们在输入上没有任何数据验证,就使提交一個空表单,也会返回相同页面,但该团体后来添加基本数据验证,不允许运用者提交空表单,
一旦攻击者可以访问受害者Instagram個人资料、与该账户相关电子邮件,就可以修改要回账户所需信息,受害者还会被提示输入电子邮件凭证,提交后会发生一個持续4秒通知,让运用者觉得他们账号已得到验证,之后钓鱼页面将转到Instagram网站上,这是网络钓鱼常用策略——很大概受害者已经用cookie登录,所以会跳转到其登录后個人主页,让运用者觉得这次“验证”是有效,而因咱们是在一個干净环境下测试钓鱼工具,所以只有Instagram登录页面,
黑客手段
咱们进一步调查这些案件,以解黑客动机以及运作方法,在他们黑掉Instagram個人资料中,他们把运用者名改为“natron_raze”,大概是为提示运用者账号被黑,与個人资料相关电子邮件也会立刻被修改,之后,账户邮箱会被再次更改,方法是向受害者发送大量Instagram保障邮件,询问这些修改是否合法,黑客还会试图经由毁损個人资料来诱惑运用者注意,
图4.被黑后账户
账户被盗后,会马上被一些账号Follow,涵盖一些假账号,之前被盗账号,还有黑客自己账号,而过一段时间后,咱们又观察到黑客从他Follow者列表中删除一些被黑账户,这大概是因黑客已经意识到他遭到监控,
在一個案例中,咱们看到黑客威胁要删除账户,或者永远不归还被盗個人资料,除非受害者支付赎金,或者发送裸照影像,黑客还让其他人晓得他窃取另一個帐户,如图4所示,
图5:被黑客攻击并篡改Instagram個人主页截图
用“Hesap Ebedi”〔土耳其语,意为“账户”、“永恒”〕搜索更多信息时,咱们发现一個黑客组织论坛,同时上面有讨论如何借助Instagram账户申诉流程管理被盗账户、使其所有者无法取回内容,
图6.turkhackteam论坛上帖子中提到盗取Instagram账号攻击动态
咱们向Facebook、Instagram公布调查结果,但在撰写本文时还没有收到两家公司回复。
防御网络钓鱼
在上述案例中,黑客诱使受害者供应個人信息以获得奖励〔比方说在显示在個人主页中蓝色徽章〕,而其对Instagram邮件模仿也很容易让运用者掉进陷阱之中,由笔者精心整理,以下是一些运用者、企业须要注意到危险信号:
· 运用该社交媒体之外域名
· 可疑字体样式〔比方说运用截图代替实际图像〕
· 语法、标点错误
· 要求认证电子邮件〔社交媒体永远不会在它们保障登录页面之外要求验证〕
IOC
与钓鱼攻击有关IP地址:
· 185〔.〕27〔.〕134〔.〕212
· 104〔.〕24〔.〕119〔.〕10
· 2606〔:〕4700〔:〕30〔::〕6818〔:〕760a
· 2607〔:〕f8b0〔:〕4864〔:〕20〔::〕243
与钓鱼攻击有关URLs:
· hxxps://2no〔.〕co/2WPr35
· hxxps://confirm〔-〕service〔.〕tk
· hxxp://instagrambluetick〔.〕ml/?i=1
· hxxp://instagrambluetick〔.〕ml/mailconfirmation〔.〕php
· hxxp://instagrambluetick〔.〕ml/confirmed〔.〕php
· hxxps://Instagram〔.〕derainbow〔.〕es
· hxxp://urlkisaltma〔.〕com/27rjN
· hxxp://urlkisaltma〔.〕com/farES