Μια νέα
καμπάνια
phishing που προσποιείται ότι είναι ένα
email
«παραβίασης πνευματικών δικαιωμάτων» επιχειρεί να κλέψει τους εφεδρικούς κωδικούς των χρηστών του Instagram, επιτρέποντας στους χάκερ να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων που έχει διαμορφωθεί στον λογαριασμό.
Ο έλεγχος ταυτότητας δύο παραγόντων είναι μια δυνατότητα ασφαλείας που απαιτεί από τους χρήστες να εισάγουν μια πρόσθετη μορφή
επα
λήθευσης κατά τη σύνδεση στο λογαριασμό. Αυτή η επαλήθευση είναι συνήθως με τη μορφή κωδικών πρόσβασης μίας χρήσης που αποστέλλονται μέσω μηνύματος κειμένου SMS, κωδικών από μια εφαρμογή ελέγχου ταυτότητας ή μέσω κλειδιών ασφαλείας υλικού.
Η χρήση του 2FA βοηθά στην προστασία των λογαριασμών σας εάν τα διαπιστευτήριά σας κλαπούν ή αγορασθούν από αγορά εγκλήματος στον κυβερνοχώρο, καθώς ο παράγοντας της απειλής θα χρειαζόταν πρόσβαση στην κινητή συσκευή ή το email σας για να συνδεθεί στον προστατευμένο λογαριασμό σας.
Κατά τη διαμόρφωση του ελέγχου ταυτότητας δύο παραγόντων στο Instagram, ο ιστότοπος θα παρέχει επίσης οκταψήφιους εφεδρικούς κωδικούς που μπορούν να χρησιμοποιηθούν για την ανάκτηση πρόσβασης σε λογαριασμούς, εάν δεν μπορείτε να επαληθεύσετε τον λογαριασμό σας χρησιμοποιώντας το 2FA. Αυτό μπορεί να συμβεί για πολλούς λόγους, όπως αλλαγή του αριθμού του κινητού σας τηλεφώνου, απώλεια του τηλεφώνου σας και απώλεια πρόσβασης στον λογαριασμό email σας.
Ωστόσο, οι εφεδρικοί κωδικοί ενέχουν κάποιο κίνδυνο, καθώς εάν ένας παράγοντας απειλής μπορεί να κλέψει αυτούς τους κωδικούς, μπορεί να κλέψει λογαριασμούς Instagram χρησιμοποιώντας μη αναγνωρισμένες συσκευές απλώς γνωρίζοντας τα διαπιστευτήρια του στόχου, τα οποία μπορούν να κλαπούν μέσω phishing ή να βρεθούν σε άσχετες παραβιάσεις δεδομένων.
Τα μηνύματα ηλεκτρονικού ψαρέματος για παραβίαση πνευματικών δικαιωμάτων ισχυρίζονται ότι ο παραλήπτης έχει δημοσιεύσει κάτι που παραβιάζει τους νόμους περί προστασίας της πνευματικής ιδιοκτησίας και, ως εκ τούτου, ο λογαριασμός του έχει περιοριστεί.
Οι παραλήπτες αυτών των
μηνυμάτων
καλούνται να κάνουν κλικ σε ένα κουμπί για να υποβάλουν ένσταση κατά της απόφασης, η οποία τους ανακατευθύνει σε σελίδες ηλεκτρονικού ψαρέματος όπου εισάγουν τα διαπιστευτήρια του λογαριασμού τους και άλλες λεπτομέρειες.
Το ίδιο θέμα έχει χρησιμοποιηθεί αρκετές φορές, μεταξύ άλλων εναντίον χρηστών του Facebook, και έχει διευκολύνει μεταξύ άλλων αλυσίδες μόλυνσης για το ransomware LockBit και το κακόβουλο
λογισμικό
BazaLoader.
Νέα καμπάνια phishing στο Instagram
Η τελευταία παραλλαγή αυτών των επιθέσεων εντοπίστηκε από
Trustwave
αναλυτές, οι οποίοι αναφέρουν ότι το αυξανόμενο ποσοστό υιοθέτησης της προστασίας 2FA ωθεί τους φορείς phishing να διευρύνουν το εύρος στόχευσής τους.
Τα τελευταία μηνύματα ηλεκτρονικού ψαρέματος υποδύονται τη Meta, τη μητρική εταιρεία του Instagram, προειδοποιώντας ότι οι χρήστες του Instagram έλαβαν καταγγελίες για παραβίαση πνευματικών δικαιωμάτων. Στη συνέχεια, το μήνυμα ηλεκτρονικού ταχυδρομείου ζητά από τον χρήστη να συμπληρώσει μια φόρμα ένστασης για να επιλύσει το πρόβλημα.
Email ηλεκτρονικού ψαρέματος
(Trustwave)
Κάνοντας κλικ στο κουμπί μεταφέρεται ο στόχος σε έναν ιστότοπο ηλεκτρονικού “ψαρέματος” που υποδύεται την πύλη των πραγματικών παραβιάσεων της Meta, όπου το θύμα κάνει κλικ σε ένα δεύτερο κουμπί με την ένδειξη “Μετάβαση στη φόρμα επιβεβαίωσης (Επιβεβαίωση του λογαριασμού μου).”
Το δεύτερο κουμπί ανακατευθύνεται σε μια άλλη σελίδα phishing που έχει σχεδιαστεί για να εμφανίζεται ως η πύλη “Κέντρο προσφυγών” της Meta, όπου ζητείται από τα θύματα να εισαγάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους (δύο φορές).
Αφού συλλέξει αυτά τα στοιχεία, ο ιστότοπος phishing ρωτά τον στόχο εάν ο λογαριασμός του προστατεύεται από 2FA και, μετά την επιβεβαίωση, ζητά τον 8ψήφιο εφεδρικό κωδικό.
Ψάρεμα των εφεδρικών κωδικών του λογαριασμού
(Trustwave)
Παρά το γεγονός ότι η καμπάνια χαρακτηρίζεται από πολλά σημάδια απάτης, όπως η διεύθυνση του αποστολέα, η σελίδα ανακατεύθυνσης και οι διευθύνσεις URL σελίδων ηλεκτρονικού ψαρέματος, ο πειστικός σχεδιασμός και η αίσθηση του επείγοντος θα μπορούσαν να εξαπατήσουν ένα σημαντικό ποσοστό στόχων για να δώσουν τα διαπιστευτήρια του λογαριασμού τους και τους εφεδρικούς κωδικούς.
Οι εφεδρικοί κωδικοί προορίζονται να διατηρούνται ιδιωτικοί και να αποθηκεύονται με ασφάλεια. Οι κάτοχοι λογαριασμών θα πρέπει να τους αντιμετωπίζουν με το ίδιο επίπεδο μυστικότητας με τους κωδικούς πρόσβασής τους και να απέχουν από την εισαγωγή τους οπουδήποτε εκτός εάν είναι απαραίτητο για την πρόσβαση στους λογαριασμούς τους.
Εάν εξακολουθείτε να έχετε πρόσβαση στους κωδικούς/κλειδιά 2FA, δεν υπάρχει ποτέ λόγος να εισάγετε τους εφεδρικούς κωδικούς σας οπουδήποτε εκτός από τον ιστότοπο ή την εφαρμογή Instagram.
VIA:
bleepingcomputer.com
