Kurbanları kimlik avı web sitelerine çekmek ve Instagram’ın iki faktörlü yedek kodlarını çalmak için birkaç farklı teknik kullanan, Instagram kullanıcılarını hedef alan yeni bir kimlik avı kampanyası keşfedildi.
Tehdit aktörleri, bazı bağlamlarla birlikte “Telif Hakkı İhlali” şablonunu kullanarak kullanıcıların hızlı harekete geçmeleri konusunda bir aciliyet duygusu yaratıyor.
Instagram yedek kodları, kullanıcılar iki faktörlü kimlik doğrulama etkinleştirildiğinde tanınmayan bir cihaza giriş yapmak istediğinde kullanılan sekiz haneli beş koddur. Bu yedek kod listesi, kullanıcılar Instagram hesaplarına giriş yaptıklarında yeniden oluşturulabilir.
Instagram Kimlik Avı Saldırısı 2FA Yedekleme Kodlarını Çaldı
TrustWave tarafından hazırlanan bir rapora göre, saldırının ilk aşamasında saldırganlar Instagram’ın ana şirketi olan Meta’nın kimliğine büründü ve birden fazla kurbana e-posta gönderdi.
E-posta, bir Instagram hesabının telif haklarını ihlal ettiğini ve 12 saat içinde bir “itiraz formunun” doldurulması gerektiğini belirtiyor. Bunun yapılmaması halinde, tehdit aktörlerinin e-postalarına göre Instagram hesabı kalıcı olarak silinecektir.
Kullanıcılar, e-postadaki yerleşik düğmeye tıkladıklarında sahte bir meta web sitesine yönlendirilir. Ancak analiz sırasında e-postanın “contact-helpchannelcopyrights” alanından oluşturulduğu fark edildi.[.]Meta’ya ait olmayan com”.
Kurbanlar, kullanıcıların trafiğini izlemeye yönelik bir platform olan Bio sitelerinde barındırıldığı anlaşılan sahte Meta web sitesine ulaştı. Bu web sitesi, “Onay Formu’na Gitmeli” düğmesi kullanıcıları yönlendirdiğinden, gerçek kimlik avı web sitesine köprü görevi görür.
Son kimlik avı web sitesi help-copyrightservice’te barındırılıyor[.]com/forms/2394919023, meşru bir Meta Portal İtiraz merkezi gibi görünerek “Devam etmek” düğme. Bu butona tıklamak kullanıcıyı bir sonraki adıma götürür ve kullanıcı adı ve şifre ister.
Kullanıcılar kimlik bilgilerini girdikten sonra, hesap için iki faktörlü kimlik doğrulamanın etkin olup olmadığı sorulur. Kullanıcıların “Evet”e tıklaması durumunda web sitesi yedek kodu ister ve onları bir sonraki sayfaya yönlendirir. Bu web sitesinin son sayfasında kullanıcının e-posta adresi ve telefon numarası sorulmaktadır.
Ancak son zamanlarda kullanıcı arayüzünün değiştiği anlaşılan tehdit aktörleri bu web sitelerini sürekli olarak geliştirdi. Ayrıca, bu kimlik avı kampanyasıyla ilgili, yem yöntemi, web sitesi tanımlamaları ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
- hxxps://bildirimler[.]google[.]com/g/p/ANiao5o1EFnOXe7ZtpiB3GPiSGjA_P9MAahAzZiwf_NPOiblgypFgRvmJNiJE8BYV114DZStcHbGehPWMX3Fv1A-WUMYXzsqasXHSUAXkoE45JCj4i5SxOvwyurHuVlXOgByVR0xRlns X8-pmOpvVGl2uCjdV3kWjyc2xs2p_585dVP4wfN417eDVprO-jwgU7jtURV-dN6x7ekuU33DHJc7-tN1Pdfhcg
- hxxps://biyografi[.]site/bilgilendirme merkezleri[.]iletişim
- hxxps://biyografi[.]site/MetaSupportForCenter
- hxxps://biyografi[.]site/lgsecurited
- hxxps://biyografi[.]site/mediacenterbussienshelp
- hxxps://biyografi[.]site/kimden
- hxxps://yardım-telif hakkı hizmeti[.]com/forms/2394919023
- hxxps://metaglobalsecuritys.com/appeal/923759232
- hxxps://mediahelpcenters[.]com/status-notification/-33/
- hxxps://copyrightforappealform[.]com/344742354/
- hxxps://mediacenterbussienshelp[.]ml/
- hxxps://metafacebookcenter[.]com/887133/