NUEVA CAMPAÑA DE PHISHING SUPLANTA INSTAGRAM

20/11/2022

BOLETÍN NRO 2022-684

Recientemente se detectó una campaña de phishing que suplantaba a la red social Instagram y tenía como objetivos obtener información sensible de los usuarios.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Un ataque de phishing de credenciales se habría dirigido a estudiantes de instituciones educativas nacionales con una campaña que suplantaba a Instagram.

La información proviene de los expertos en seguridad, que destacaron la nueva amenaza en un informe el 17 de noviembre de 2022. 

"El asunto de este correo electrónico inducía a las víctimas a abrir el mensaje. El objetivo de este asunto era inducir una sensación de urgencia en las víctimas, haciendo ver que era necesario realizar una acción para evitar futuros daños".

El correo electrónico parecía provenir del soporte de Instagram, con el nombre del remitente, Instagram y la dirección de correo electrónico, coincidiendo con las credenciales reales de Instagram.

"Este ataque de correo electrónico dirigido fue diseñado socialmente, conteniendo información específica para el destinatario con el fin de infundir un nivel de confianza que este correo electrónico era una comunicación legítima de Instagram."

Una vez que los usuarios hacían clic en un enlace del correo electrónico, se abría una página falsa, que incluía la marca de Instagram y detalles sobre el intento de inicio de sesión inusual detectado, junto con un botón "Este no fui yo".

Al hacer clic en el botón, las víctimas eran dirigidas a una segunda página falsa diseñada para exfiltrar credenciales sensibles del usuario.

El ataque por correo electrónico utilizaba el lenguaje como principal vector de ataque y eludía los controles de seguridad nativos del correo electrónico de Microsoft. Pasó las comprobaciones de autenticación de correo electrónico SPF y DMARC.

Según especialistas de seguridad, verificar que el origen de un correo electrónico es de un dominio válido es un buen comienzo, pero se requiere un mayor escrutinio en cuanto a qué dominio válido se originó el correo electrónico.

En este caso, un correo electrónico de instagramsupport[.]net debería considerarse sospechoso, ya que el dominio de Instagram es Instagram[.]com. Cuando un servicio proporciona soporte, puede ser aconsejable contactar directamente con el soporte si no se está seguro de qué acción tomar.

Indicadores de Compromiso

Dominio

instagramsupport[.]net

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Instagram Credential Phishing Attacks Bypass Microsoft Email Security
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​