Una nuova campagna di phishing, che si finge un’email di “violazione del copyright“, mira a rubare i codici di backup degli utenti di Instagram, consentendo agli hacker di bypassare l’autenticazione a due fattori (2FA) configurata sull’account come riportato da TrustWave.
Dettagli dell’Attacco
L’autenticazione a due fattori è una funzionalità di sicurezza che richiede agli utenti di inserire una forma aggiuntiva di verifica durante l’accesso all’account. Questa verifica di solito avviene sotto forma di codici monouso inviati tramite SMS, codici da un’app di autenticazione o tramite chiavi di sicurezza hardware. L’uso della 2FA aiuta a proteggere gli account se le credenziali vengono rubate o acquistate da un mercato del cybercrime, poiché l’attore della minaccia avrebbe bisogno di accedere al dispositivo mobile o all’email per accedere all’account protetto.
Rischio dei Codici di Backup
Quando si configura la 2FA su Instagram, il sito fornisce anche codici di backup a otto cifre che possono essere utilizzati per recuperare l’accesso agli account se non è possibile verificare l’account utilizzando la 2FA. Tuttavia, i codici di backup comportano alcuni rischi, poiché se un attore della minaccia riesce a rubare quei codici, può dirottare gli account Instagram usando dispositivi non riconosciuti semplicemente conoscendo le credenziali del bersaglio, che possono essere rubate tramite phishing o trovate in violazioni di dati non correlate.
Modalità dell’Attacco di Phishing
I messaggi di phishing sulla violazione del copyright sostengono che il destinatario ha pubblicato qualcosa che viola le leggi sulla protezione della proprietà intellettuale e, di conseguenza, il loro account è stato limitato. I destinatari di questi messaggi sono invitati a fare clic su un pulsante per contestare la decisione, che li reindirizza a pagine di phishing dove inseriscono le credenziali del proprio account e altri dettagli.
Consigli per la Sicurezza
I codici di backup sono destinati a essere mantenuti privati e conservati in modo sicuro. I titolari di account dovrebbero trattarli con lo stesso livello di segretezza delle loro password e astenersi dall’inserirli da qualche parte a meno che non sia necessario per accedere ai loro account. Se si ha ancora accesso ai propri codici/chiavi 2FA, non c’è mai motivo di inserire i codici di backup da nessuna parte se non all’interno del sito web o dell’app di Instagram.
Questa campagna di phishing sottolinea l’importanza di essere vigili e protetti contro le minacce online, specialmente quando si tratta di informazioni sensibili come i codici di backup per l’autenticazione a due fattori.