揭秘Instagram上利用隱私進行盜號和敲詐的土耳其黑客團伙
社交平台的博主們通過營造自身的品牌形象來獲取更多粉絲的關注,對於黑客來說,他們苦心經營的形象也能被視為商品對待,通過盜取賬號/個人信息來飽其私囊。近日,一名Instagram平台上粉絲超過1.5萬名的攝影師就遭遇了此類狀況。
對該事件的進一步調查顯示,黑客是通過網路釣魚黑進她的賬戶的。雖然聽起來似乎很簡單,但我們也發現,針對Instagram上「網紅」們的攻擊,已經成為了某個土耳其語黑客群體的慣用手法,並且黑客們通過濫用Instagram的賬戶恢復程序,讓受害者們即使按正常的申訴流程也要不回自己的賬戶。我們在研究時就曾看到過這樣的案例:一些在Instagram上粉絲數在1.5萬至7萬之間的博主們,其個人資料遭到了黑客攻擊,且再也未能找回,受害者包括著名演員、歌手,以及初創公司的老闆等。
該團伙還從事數字勒索業務。一旦受害者試圖與黑客取得聯繫,就會被要求支付贖金或裸照視頻來贖回賬戶。當然,你即使真的打了錢或是發了裸照,結果往往也可能是「財色兩空」。事實上,這種針對有影響力的社交媒體博主們的攻擊,也完全符合我們之前對今年威脅形勢的預測。
圖1.黑客盜取Instagram個人資料的流程圖
攻擊鏈
對釣魚工具包的分析顯示,其主機系統會阻止來自wget的請求。我們通過欺騙用戶代理成功的獲得了釣魚工具。
攻擊過程始於一封假裝來自Instagram的釣魚郵件,內容是促使用戶驗證賬戶,進而用戶就能獲得Instagram一枚藍色的認證徽章。但需要注意的是,Instagram從來只有在用戶申請之後才會進行認證,且不會向用戶索要憑證。
圖2.要求用戶驗證Instagram賬號的釣魚郵件截圖
圖3.用戶被重定向到的釣魚頁面(左);另一個請求用戶憑證的電子郵件的頁面(中);在鍵入憑證並提交之後,用戶將被重定向到「信息已驗證」的頁面(右)
一旦用戶單擊「驗證帳戶」按鈕,將被重定向到一個釣魚頁面,要求填寫生日、郵件地址和憑據。當我們第一次看到這些頁面時,它們在輸入上沒有任何數據驗證,即使提交了一個空表單,也會返回相同的頁面。但是,該團體後來添加了基本數據驗證,不允許用戶提交空表單。
一旦攻擊者可以訪問受害者的Instagram個人資料和與該賬戶相關的電子郵件,就可以修改要回賬戶所需的信息。受害者還會被提示輸入電子郵件憑證,提交後會出現一個持續4秒的通知,讓用戶覺得他們的賬號已得到驗證。之後釣魚頁面將轉到Instagram網站上,這是網路釣魚常用的策略——很可能受害者已經用cookie登錄了,所以會跳轉到其登錄後的個人主頁,讓用戶覺得此次「驗證」是有效的。而因為我們是在一個乾淨的環境下測試釣魚工具的,所以只有Instagram的登錄頁面。
黑客的手段
我們進一步調查了這些案件,以了解黑客的動機以及運作方式。在他們黑掉的Instagram個人資料中,他們把用戶名改為了「natron_raze」,可能是為了提示用戶賬號被黑。與個人資料相關的電子郵件也會立刻被修改。之後,賬戶的郵箱會被再次更改,方法是向受害者發送大量Instagram安全郵件,詢問這些修改是否合法。黑客還會試圖通過毀損個人資料來吸引用戶的注意。
圖4.被黑後的賬戶
賬戶被盜後,會馬上被一些賬號關注,包括一些假賬號,之前被盜的賬號,還有黑客自己的賬號。而過一段時間後,我們又觀察到黑客從他的關注者列表中刪除了一些被黑的賬戶,這可能是因為黑客已經意識到了他遭到了監控。
在一個案例中,我們看到黑客威脅要刪除賬戶,或者永遠不歸還被盜的個人資料,除非受害者支付贖金,或者發送裸照視頻。黑客還讓其他人知道他竊取了另一個帳戶,如圖4所示。
圖5:被黑客攻擊並篡改的Instagram個人主頁截圖
用「Hesap Ebedi」(土耳其語,意為「賬戶」和「永恆」)搜索更多信息時,我們發現了一個黑客組織的論壇,並且上面有討論如何藉助Instagram的賬戶申訴流程管理被盜賬戶、使其所有者無法取回的內容。
圖6.turkhackteam論壇上的帖子中提到了盜取Instagram賬號的攻擊動態
我們向Facebook和Instagram公布了調查結果,但在撰寫本文時還沒有收到兩家公司的回復。
防禦網路釣魚
在上述的案例中,黑客誘使受害者提供個人信息以獲得獎勵(比如在顯示在個人主頁中的藍色徽章),而其對Instagram郵件的模仿也很容易讓用戶掉進陷阱之中。以下是一些用戶和企業需要注意到的危險信號:
·使用該社交媒體之外的域名
·可疑的字體樣式(例如使用截圖代替實際圖像)
·語法和標點錯誤
·要求認證的電子郵件(社交媒體永遠不會在它們安全的登錄頁面之外要求驗證)
IOC
與釣魚攻擊有關的IP地址:
·185[.]27[.]134[.]212
·104[.]24[.]119[.]10
·2606[:]4700[:]30[::]6818[:]760a
·2607[:]f8b0[:]4864[:]20[::]243
與釣魚攻擊有關的URLs:
·hxxps://2no[.]co/2WPr35
·hxxps://confirm[-]service[.]tk
·hxxp://instagrambluetick[.]ml/?i=1
·hxxp://instagrambluetick[.]ml/mailconfirmation[.]php
·hxxp://instagrambluetick[.]ml/confirmed[.]php
·hxxps://Instagram[.]derainbow[.]es
·hxxp://urlkisaltma[.]com/27rjN
·hxxp://urlkisaltma[.]com/farES
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※Formjacking已超越勒索軟體和挖礦攻擊,成為2018年的頂級威脅
※春節期間針對國人的挖礦惡意軟體攻擊活動
TAG:嘶吼RoarTalk |