最近、新たなInstagramフィッシングキャンペーンが浮上しました。7月下旬にVadeによって初めて発見されたこの詐欺は、Instagramの非常に需要の高い検証プログラムを悪用して被害者をだまし、個人情報とアカウント認証情報を漏洩させます。悪意のある攻撃は、ソーシャルメディアのプラットフォームの特定のユーザを標的にしており、無差別に被害者を追い求める他のフィッシングキャンペーンよりも巧妙です。
このフィッシングメールでは、件名に「ig bluebadge info」、名前に「ig-badges」が使われています。 本文には、被害者のInstagramプロフィールの確認が行われ、検証の対象とみなされたことが説明されています。メールのヘッダーとフッターにあるInstagramとFacebookのロゴは、このメールが正当なものであるような雰囲気を作り出すためのものです。同じ理由で被害者の実際のInstagramのハンドル名が使われています。このことから、ハッカーが攻撃前にターゲットを調査していたことが分かります。
Instagramのフィッシングメール
ハッカーは、これらの戦術がメールの文脈などのフィッシング詐欺の兆候を隠ぺいしてくれると期待しています。Instagramは、もてはやされている青いバッジの申請をユーザに依存しており、ユーザに直接連絡することはありません。また、同社が検証を行うのは、一般ユーザではなく、著名人や有名人だけです。
詳しく調べると、以下に示すように、このメールはトルコのIPアドレスから送信されたことが分かります。
送信者のIPアドレス
送信者のIPアドレス
さらに、フィッシングの典型的なケースであることをほのめかすその他の兆候があります。文章には文法的な誤りやタイプミスが複数見られます。「Thanks, you instagram team.」というフレーズなど、外国の悪者の名刺によくあるものです。 また、このメールは、フィッシングやスピアフィッシングメールのもう1つの特徴である迅速な処理を促し、被害者に「このメッセージを無視すると、フォームは48時間以内に完全に削除されます」と告げます。
それでも、ハッカーは、被害者がこれらの手がかりを見落として、「バッジフォーム」の青いボタンをクリックすることを期待しています。 その際に、彼らは「teamcorrectionbadges」というドメイン名で悪意のあるWebサイトを立ち上げます。
Instagramフィッシングのドメイン名
ここでハッカーは、Instagramがinstagram.comとは異なるWebサイトを使ってユーザの検証を行っていると被害者が考えることを期待しています。Instagramのブランドカラーとその親会社であるMetaのロゴを表示することで、彼らは再び真正性の錯覚を生み出そうとしています。彼らは、いくつかの文法上の誤りも犯しています。
Instagramフィッシングフォーム1
このフォームは、被害者にInstagramのハンドル名を入力するように促しています。この情報を送信すると、Web ページが更新され、以下のように、被害者の名前、メール、電話番号の複数のフィールドとともにエントリが表示されます。
Instagramフィッシングフォーム2
ユーザがこの情報を送信すると、Webページが更新され、被害者のパスワードを入力するための別のフィールドが表示されます。
Instagramフィッシングフォーム3
被害者がアカウント認証情報を入力して送信すると、Webページが再び更新され、今度は「アカウントのご確認いただきありがとうございました。当チームからまもなくご連絡いたします(平均48時間以内)」という確認メッセージが表示されます。
Instagramフィッシングフォーム4
Instagramのフィッシングキャンペーンは2022年7月22日に始まり、メールの数量は、2回で1日あたり最高1000件に達しました。現時点では、この悪意のあるキャンペーンは規模が小さく、標的を絞った攻撃の特性に倣っているようです。
Instagramのフィッシングメールの数量
Instagramのフィッシング詐欺は、ソーシャルステータスの需要を悪用する
InstagramやFacebookなどのソーシャルメディアアウトレットは、フィッシング犯に対して、フィッシングに有用なプラットフォームを提供し、まもなく彼らの被害者になる人々に関する豊富な情報を与えます。最近のPhisher's Favoriteレポートは、この現実を裏付けており、ソーシャルメディアブランドがあらゆる産業において4番目に多いフィッシングURL数を占めており、Facebookが最もなりすましの多いブランドの中で2位にランクインしていることを明らかにしています。
2022年上半期 産業ごとのフィッシング数量
フィッシング犯には、ソーシャルメディアブランドになりすます動機がありますが、ソーシャル検証の需要を悪用することに付加価値を見出しています。多くの人々は、それが示すソーシャルステータスのためにInstagramの青いバッジを高く評価しています。そのため、このバッジを得られる機会が与えられたとき、判断が鈍ってしまうかもしれません。ソーシャル検証は、それを管理するソーシャルプラットフォームだけが知っている、不可解で正しく理解されていないプロセスでもあります。それが災いし、被害者は、悪意のある第三者によって開発されたメールやWebサイトを信頼してしまう可能性が高くなります。
このInstagramのフィッシングキャンペーンのような認証詐欺は、年々注目を集め続けており、この傾向は今後も確実に継続します。それでも、適切なサイバー衛生と合致した慣行を採用することで、被害者にならずに済みます。フィッシング犯はあらゆるメールになりすませるということを認識して、メールを開く際は注意を怠らないでください。メールからではなく、別のブラウザから直接ソーシャルメディアアカウントにログインしましょう。また、緊急性やスペルミス、文法的な間違いなど、フィッシング詐欺によくある兆候を探しましょう。
