Redes de mídia social – um paraíso para phishers
As plataformas de mídia social atraem os cibercriminosos como um cadáver atrai os abutres. Com bilhões de pessoas usando a mídia social em escala global, os canais online de comunicação se tornaram um importante local de phishing para ciberataques.
Festejando seus olhos nas redes sociais
- A personificação é a principal técnica usada em diferentes ataques de engenharia social. Os golpistas fingem ser alguém com autoridade, denegrem as pessoas, mancham a reputação da marca ou enganam os seguidores para cometer atividades fraudulentas.
- Os cibercriminosos estão aproveitando as redes de mídia social para lançar ataques de phishing, tornando-se amigos de seus alvos para fazê-los divulgar informações pessoais. Usando os dados coletados, os criminosos criam uma identidade falsa para cometer fraudes.
- Freqüentemente, os golpistas de phishing empregam páginas de destino falsas e enganam os usuários de mídia social para que façam login usando suas credenciais. Depois de obter acesso às contas dos usuários, eles lançam ataques de suas contas para atingir seus amigos e outros contatos.
- Explorar URLs curtos é uma das técnicas comuns usadas em ataques de phishing, especialmente em plataformas como o Twitter. Os criminosos tendem a ocultar links maliciosos e a infraestrutura C2 com a ajuda do encurtador de URL do Twitter.
- Hackers are launching romance scams, targeting people looking for companionship. In such phishing scams, they replicate accounts of people, usually from the military.
Recent phishing campaigns via social media platforms
- The Iranian APT group, Charming Kitten, was seen impersonating journalists via WhatsApp and LinkedIn. The attackers are approaching targets on both the platforms, tricking victims into clicking on a malicious link—which leads to a phishing page—to steal credentials.
- In a phishing campaign, Turkish-speaking cybercriminals are sending messages to Instagram users on the platform itself to pilfer their Instagram and email credentials. Pretending to be the Instagram Help Center, the attackers claim a copyright violation complaint being filed against the account holder and that their account might be deleted.
- The North Korean APT group, Lazarus, conducted a phishing campaign targeting cryptocurrency firms via LinkedIn messages. The goal of the campaign was to harvest credentials for accessing online bank accounts or cryptocurrency wallets.
There’s no time to waste
Cybercriminals use social media as much as everyone else, and they have learned the ropes of exploiting it with the help of social engineering attacks. With the increasing dependence on social media networks for business communications, social media security is of the essence, more than ever.
