In un nuovo tentativo di phishing scoperto da Secureworks, i criminal hacker rubano gli account Instagram di influencer e aziende dal seguito importante (numero di follower e interazioni). La società di sicurezza informatica ha scoperto la tecnica in ottobre quando gli attaccanti hanno preso il controllo di account importanti e hanno chiesto un riscatto.
Gli autori iniziano inviando un messaggio che cerca di convincere essere proveniente da Instagram, informando gli utenti vittima di una sospetta violazione del copyright. Il messaggio contiene un collegamento che indirizza i destinatari a un sito Web controllato dai malintenzionati. Alla vittima viene quindi richiesto di inserire le proprie credenziali di accesso a Instagram, consentendo agli aggressori il controllo completo sui propri account.
Di fatto è quello che sembra sia accaduto esattamente nella serata di ieri, anche all’italiana Giunti Editore. Il cui account di 113.000 follower ha cambiato nome, immagine di profilo e ha perso circa un migliaio di follower nel giro di un giorno. E pubblica stories del tutto poco attinenti all’origine.
Nella giornata di oggi invece (26 gennaio) Giunti Editore apprende la notizia e comunica l’accaduto sul proprio sito istituzionale, avviando presumibilmente un’indagine con l’assistenza stessa del social network, bloccando cautelativamente l’account compromesso, non più visibile, sostituito dal temporaneo di backup che vedete qui sotto.
Secureworks ha spiegato che gli attori delle minacce alterano la password e il nome utente dopo aver controllato l’account Instagram. Il nome utente aggiornato dell’account dirottato è una versione di fantasia di solito seguita da un numero che sembra riflettere il numero di follower.
Gli attori della minaccia scrivono sul profilo che “questo account Instagram è ritenuto essere in vendita al suo proprietario“. Nel commento è incluso un link composto da un dominio WhatsApp troncato (wa . me) e un numero di telefono. Quando fai clic sul collegamento, verrai indirizzato a una discussione WhatsApp con gli attori delle minacce. Gli attori della minaccia si avvicinano anche alla vittima tramite un messaggio di testo al numero di telefono fornito sull’account e iniziano a negoziare un riscatto per l’accesso all’account.
Secureworks ha rivelato che gli hacker hanno rilevato diversi account in base alle date di creazione del dominio e hanno avviato la campagna nel 2021. La società di sicurezza informatica ha scoperto un post di settembre su forum underground in cui qualcuno collegato ai malintenzionati offre l’accesso ad account Instagram compromessi per circa 40.000 dollari. Un business che gira e copre un’ampia gamma di servizi quindi, non solo guadagni dal riscatto, ma anche dalla rivendita.
Rimane inteso che Instagram offre la sicurezza aggiuntiva garantita dall’autenticazione forte a 2 fattori (2FA), sia per gli account privati che per quelli business professionali. Resta solo il dubbio di quanto sia diffusa, conosciuta e utilizzata questa funzionalità che aumenterebbe esponenzialmente la sicurezza dei propri account, con una difesa eccellente e funzionale a prevenire questo genere di attacchi (ammesso che vada a segno il phishing iniziale).
Secureworks sottolinea che gli autori della minaccia forniscono numeri di telefono che indicano che si trovano in Russia e Turchia. Ulteriori dati suggeriscono che almeno uno degli aggressori si trova in Turchia. L’azienda ha inoltre osservato che se le password venissero ripetute nella quotidianità aziendale, gli attaccanti potrebbero ottenere l’accesso agli account di posta elettronica o ad altre risorse aziendali.
