| 21 декабря 2023 г. — 9:34 PT
Обнаружен новый вид фишинговых электронных писем в Instagram, с помощью которых злоумышленники пытаются обманом заставить жертв раскрыть свои имена пользователей, пароли, номера телефонов и, самое главное, резервные коды, используемые для обхода двухфакторной аутентификации (2FA).
2FA в Instagram добавляет дополнительный уровень безопасности учетной записи, требуя вторую форму проверки в дополнение к вашему паролю. Это может быть одноразовый код, отправленный по SMS, коды, сгенерированные приложением для аутентификации, или даже из WhatsApp.
При настройке 2FA Instagram предоставляет учетной записи набор резервных кодов. Эти пять 8-значных чисел могут быть использованы при входе с незнакомого устройства или если пользователь больше не может подтвердить свою личность с помощью метода двухфакторной аутентификации (например, потерял доступ к телефону). Каждый резервный код может быть использован только один раз.
Эти статические коды являются золотой жилой для злоумышленников, поскольку их кража позволит им войти с незнакомого устройства, зная только учетные данные пользователя, полностью обходя любые 2FA. Как злоумышленник получает все это? Один из способов — это искусно выглядящие фишинговые атаки…
Новая фишинговая кампания в Instagram
Гигант в области кибербезопасности Trustwave отметил, что новая фишинговая кампания использует электронные письма, выдающие себя за материнскую компанию Instagram, Meta, утверждая, что учетная запись получателя «нарушает авторские права». Злоумышленник также создает ощущение срочности, указывая в сообщении, что апелляция должна быть подана в течение 12 часов, иначе учетная запись будет безвозвратно удалена.
Вот как это работает…
Нажатие на ссылку «Перейти к форме апелляции» перенаправляет пользователя на первоначальный фишинговый сайт, который имитирует реальный портал Meta для рассмотрения жалоб о нарушениях. Он размещен на Bio Sites, платформе для быстрого создания целевых страниц от Squarespace. Это, в сочетании со ссылкой на уведомления Google, предположительно, помогает избежать обнаружения спам-фильтрами электронной почты и отслеживать клики по ссылкам.
Если пользователь нажимает «Перейти к форме подтверждения (Подтвердить мою учетную запись)», он будет перенаправлен на другой фальшивый сайт Meta, где будет собираться информация об учетной записи. Первыми запрашиваемыми данными являются имя пользователя и пароль (по непонятной причине дважды). После ввода учетных данных пользователя спрашивают, включена ли в учетной записи 2FA.
Нажатие кнопки «ДА» запрашивает один из пяти сгенерированных резервных кодов Instagram. Хотя аккаунт уже можно захватить, на последнем экране запрашиваются адрес электронной почты и номер телефона пользователя.
Электронная почта продолжает оставаться наиболее распространенным вектором киберпреступности и фишинговых атак. Важно быть в курсе способов выявления и избегания вредоносных электронных писем.
Наиболее подозрительными элементами были адрес электронной почты отправителя («contact-helpchannelcopyrights[.]com»), который не связан с Meta, а также URL-адрес уведомлений Google в кнопке формы апелляции.
Напоминаем, будьте бдительны; не делитесь паролями или резервными кодами за пределами приложения Instagram.
Если вы считаете, что ваша учетная запись была скомпрометирована, немедленно смените пароль и сгенерируйте новые резервные коды. Это можно сделать в Instagram, перейдя в раздел Настройки и конфиденциальность > Центр учетных записей > Пароль и безопасность > Двухфакторная аутентификация > [Ваша учетная запись Instagram] > Дополнительные методы > Резервные коды > Получить новые коды.
Полный отчет Trustwave можно найти здесь.
Основное изображение предоставлено 9to5Mac/ Sandeep Swarnkar.