Forscher von Vade Secure warnen davor, dass eine E-Mail-Phishing-Kampagne die Benutzer darüber informiert, dass ihr Instagram-Konto berechtigt ist, ein Bestätigungsabzeichen zu erhalten. Wenn ein Benutzer auf den Link klickt, wird er zu einer gefälschten Instagram-Anmeldeseite weitergeleitet, die seine Anmeldeinformationen stehlen soll.
“Der Betrug, der Ende Juli zum ersten mal von Vade entdeckt wurde, nutzt das sehr begehrte Verifizierungsprogramm von Instagram aus, um die Opfer dazu zu bringen, persönliche Informationen und Kontoanmeldeinformationen preiszugeben”, schreiben die Forscher. „Der böswillige Angriff zielt auf bestimmte Nutzer der Social-Media-Plattform ab und zeigt mehr Raffinesse als andere Phishing-Kampagnen, die Opfer wahllos verfolgen.“
Die E-Mails geben sich als Instagram aus und sind auf jedes Ziel zugeschnitten. Die URL der Phishing-Seite lautet “teamcorrectionbadges[.]com”.
“Die Phishing-E-Mail verwendet die Betreffzeile, ‘ig bluebadge info’ und den Namen ‘ig-badges'”, schreiben die Forscher. “Der Text erklärt, dass das Instagram-Profil des Opfers überprüft wurde und als zur Überprüfung in Frage kommt. Die Instagram- und Facebook-Logos in der Kopf- und Fußzeile der E-Mail versuchen, einen Hauch von Legitimität zu erzeugen, ebenso wie die Verwendung des tatsächlichen Instagram-Handles des Opfers, das zeigt, dass die Hacker ihr Ziel vor dem Angriff recherchiert haben.“
Die Forscher stellen fest, dass aufmerksame Benutzer einige Diskrepanzen und Anzeichen von Social Engineering in der E-Mail erkennen konnten.
“Andere Anzeichen deuten auf einen klassischen Fall von Phishing hin”, schreiben die Forscher. “Grammatische Fehler und Tippfehler erscheinen mehrmals im Text – der gemeinsamen Visitenkarte ausländischer schlechter Schauspieler – einschließlich des Satzes: “Danke, du Instagram-Team”. Die E-Mail fordert auch sofortige Maßnahmen – ein weiteres Markenzeichen von Phishing- und Speer-Phishing-E-Mails – und dem Opfer zu sagen: “Wenn Sie diese Nachricht ignorieren, wird das Formular innerhalb von 48 Stunden dauerhaft gelöscht”.
Vade fügt hinzu, dass Instagram von Benutzern verlangt, Abzeichen zu beantragen, und überprüft in der Regel nur hochkarätige Benutzer mit großen Anhängern. Schulungen zur Sensibilisierung der Cybersicherheit können Ihren Mitarbeitern beibringen, die Anzeichen von Social-Engineering-Angriffen zu erkennen.
Kostenloser Phishing-Sicherheitstest
Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.
Und so funktioniert’s:
- Starten Sie sofort Ihren Test für bis zu 100 Benutzer
- Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
- Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
- Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
- Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
- Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.