写在前面的话

近期，研究人员发现并识别了一种利用Instagram进行网络钓鱼的新型恶意活动。在这个恶意活动中，除了获取目标用户的Instagram账号凭证之外，网络犯罪分子还会尝试获取目标用户的Instagram备份码。

如果启用了双因素身份验证功能，Instagram将允许其用户通过验证码在无法识别的设备上登录。如果设备或电子邮箱无法访问的话，用户则可以使用备份码登录。这种备份码由5个8位数字组成，每一个码只能使用一次，并且每当用户登录 Instagram 帐户时都可以重新生成整个列表。

初始向量

下图所示的网络钓鱼邮件自称来自Instagram母公司Meta，并暗示目标用户（即收件人）的Instagram侵犯了版权。此时，威胁行为者会暗示目标用户点击钓鱼邮件中的“申诉表”，并提醒他们必须在12小时内提出申诉，以此来营造一种紧迫感。如果用户不申诉，那么他们的账号将被永久删除。但是，目标用户一旦点击了该按钮，他们就会被重定向到一个虚假的Meta网站。

在对该钓鱼邮件进行深入分析之后，我们可以发现下列可疑的地方：

1、发件人的邮箱域名“contact-helpchannelcopyrights[.]com”根本不属于Meta或Instagram；

2、申诉按钮的文本为“跳转到申诉表格”，但之前的文本中写的是“跳转到表格”；

3、申诉表单按钮链接到的是一个Google通知URL；

伪造的Meta网站

当用户点击了钓鱼邮件中的申诉表个按钮后，用户将会被重定向到一个使用Bio Sites托管的网站，而Bio Sites则是一个Squarespace建站平台，允许用户实现简单、快速的单页面网站搭建，开发人员可以利用Bio Sites网站的流量来实现数字内容获利。

这个网站“bio[.]site/ignotificationcenters[.]com”伪装成了合法的Meta门户网站，其内容也符合网络钓鱼邮件中的主题内容。实际上，这个网站充当了钓鱼邮件和实际钓鱼网站之间的跳转桥梁，当用户点击“跳转到确认表格（确认我的账户）”按钮之后，用户将会被重定向到实际的钓鱼网站。

实际的钓鱼网站“help-copyrightservice[.]com/forms/2394919023”伪装成了一个虚假Meta “申诉中心”门户站点，该网站托管在一个新创建的域名上。当用户点击了“继续”按钮之后，就会出现一系列提示，并要求输入特定的用户信息。每次用户单击“继续”时，数据都会发送给威胁行为者。

要求用户提供的第一部分信息就是账户名和密码了，密码会要求用户输入两次，这可能是威胁行为者希望同时获取到目标用户的另一个常用密码。提交密码之后，系统会询问目标用户的Instagram 帐户是否启用了双因素身份验证功能。

接下来，钓鱼网站会出现一个伪造的双因素安全验证确认页面，如果用户通过单击“是”按钮进行确认，则此时会请求用户的备份码。最后一个页面，负责收集目标用户的电子邮箱地址和电话号码。

Bio.site上的其他虚假Meta站点

在对该恶意活动进行分析时，研究人员还在Bio Sites上发现了一些其他的虚假Meta网站，不过这些网站有很多目前都已经停用了。

除此之外，我们还访问了前文介绍过的“hxxp://bio[.]site/ignotificationcenters[.]com”网站，该网站不仅UI已经被更新了，而且重定向的链接也发生了变化，这些情况都表明该活动背后的网络犯罪分子正在不断改进和提升他们的攻击活动。

总结

Instagram给用户提供了多种登录方法，而网络犯罪分子同时也在利用这一点来实施攻击。在本文描述的攻击场景中，威胁行为者尝试窃取并存储目标用户的备份码。在该活动中获取到的数据随后可以直接在暗网中出售，或直接接管目标用户的账号。为了防止这种情况的发生，广大用户情不好共享密码或备份码，并谨慎对待这些数据的存储方式。如果意识到的攻击行为的发生，请立即更改密码或重新生成新的备份码。

入侵威胁指标IoC

hxxps://notifications[.]google[.]com/g/p/ANiao5o1EFnOXe7ZtpiB3GPiSGjA_P9MAahAzZiwf_NPOiblgypFgRvmJNiJE8BYV114DZStcHbGehPWMX3Fv1A-WUMYXzsqasXHSUAXkoE45JCj4i5SxOvwyurHuVlXOgByVR0xRlnsX8-pmOpvVGl2uCjdV3kWjyc2xs2p_585dVP4wfN417eDVprO-jwgU7jtURV-dN6x7ekuU33DHJc7-tN1Pdfhcg

hxxps://bio[.]site/ignotificationcenters[.]com

hxxps://bio[.]site/MetaSupportForCenter

hxxps://bio[.]site/lgsecurited

hxxps://bio[.]site/mediacenterbussienshelp

hxxps://bio[.]site/from

hxxps://help-copyrightservice[.]com/forms/2394919023

hxxps://metaglobalsecuritys.com/appeal/923759232

hxxps://mediahelpcenters[.]com/status-notification/-33/

hxxps://copyrightforappealform[.]com/344742354/

hxxps://mediacenterbussienshelp[.]ml/

hxxps://metafacebookcenter[.]com/887133/

参考资料

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/insta-phish-a-gram/

参考链接

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/instagram-phishing-targets-backup-codes/