Los investigadores advierten que una estafa de phishing se dirige a los usuarios de Instagram a través de mensajes directos en la aplicación.
Los ciberdelincuentes de habla turca están enviando a los usuarios de Instagram mensajes aparentemente legítimos de la empresa de redes sociales, con el objetivo de robar sus credenciales de Instagram y correo electrónico.
Los investigadores dijeron que la campaña se ha dirigido a cientos de celebridades, propietarios de empresas emergentes y otras entidades con muchos seguidores en Instagram. Este ataque específico apareció por primera vez en el radar de los investigadores después de que un oficial de policía con más de 16.000 seguidores en Instagram fuera atacado, dijeron.
Si bien los mensajes de phishing anteriores que utilizan Instagram como señuelo se han enviado por correo electrónico, los atacantes de esta campaña envían los mensajes de phishing a la propia plataforma de Instagram. Pretenden ser el Centro de ayuda de Instagram y afirman que se ha presentado una queja por violación de derechos de autor contra el propietario de la cuenta, y que su cuenta ahora corre el riesgo de ser eliminada.
«El mensaje también proporciona un enlace que se hace pasar por un formulario para enviar una apelación, pero que en realidad es un enlace de phishing», dijeron los investigadores de Trend Micro en un análisis del viernes. “Abrir el enlace conduce a una página donde se le pedirá al usuario que proporcione su nombre de usuario. Al momento de redactarlo, el formulario no tiene validación de datos, lo que significa que cualquier entrada, incluso una cuenta inexistente o ninguna entrada en absoluto, sería aceptada «.
Después de que la víctima selecciona el botón «Siguiente» en la página de inicio de phishing, aparece otra pantalla pidiéndole su nombre, contraseña, dirección de correo electrónico y contraseña de correo electrónico.
Si una víctima ingresa sus credenciales y hace clic en el botón «Continuar», la página redirige a la página de inicio de sesión legítima de Instagram.
“Si el usuario ya había iniciado sesión en el sitio de la red social antes de tocar dicho botón, el formulario redirige a su página de inicio”, dijeron los investigadores. «Esto da la ilusión de que el formulario que completaron está oficialmente conectado a Instagram».
Una vez que tienen las credenciales de Instagram, los atacantes inician sesión en la cuenta, desvinculan el número de teléfono celular de la víctima conectado a la cuenta y cambian el correo electrónico vinculado a la cuenta. Y, dado que también tienen las credenciales de correo electrónico, los atacantes también pueden hacerse cargo de la cuenta de correo electrónico.
Los atacantes se han dirigido previamente a los usuarios de Instagram en varias campañas de phishing y estafas. Una campaña anterior de 2019, por ejemplo, utilizó correos electrónicos solicitando al usuario que confirme su cuenta para que pueda recibir una insignia verificada.
Sin embargo, seleccionar el botón «Verificar cuenta» conduce a una página de phishing que recopila la dirección de correo electrónico, las credenciales y la fecha de nacimiento del usuario. Al recolectarlos, los actores de la amenaza tienen todos los detalles que necesitan para modificar la información para recuperar una cuenta robada, dijeron los investigadores.
Muchos de los ataques tuvieron éxito, dijo a Jindrich Karasek, investigador de amenazas de Trend Micro. El impacto de la infracción depende, dijo Karasek.
“Algunas víctimas pueden ser lo suficientemente famosas como para ser chantajeadas con información encontrada en Google”, dijo Karasek a Threatpost. «La mayoría de las víctimas también usan la misma contraseña para todas las redes sociales, por lo que les roban, explotan y abusan de toda su identidad en línea».
Los investigadores aconsejaron a los usuarios de Instagram que tengan cuidado con los sitios aparentemente legítimos que solicitan credenciales de cuenta para otro sitio.
Además, los usuarios deben «examinar el contenido del mensaje en busca de construcciones gramaticales y errores ortográficos» y «nunca abrir enlaces ni descargar archivos adjuntos de fuentes sospechosas». Pase el cursor sobre una URL para comprobar si revela una dirección diferente a la del sitio web esperado ”, dijeron los investigadores.