Segundo analistas de ameaças do Vade, um nova campanha de Phishing do Instagram usa isca de selo azul em mais de mil usuários.
Os emblemas azuis são altamente cobiçados, pois o Instagram os fornece a contas verificadas como autênticas, representando uma figura pública, celebridade ou marca.
Uma nova campanha de phishing no Instagram está em andamento, tentando enganar os usuários da popular plataforma de mídia social atraindo-os com uma oferta de selo azul.
Phishing do Instagram usa isca de selo azul em mais de mil usuários
Os e-mails de lança na campanha de phishing recentemente observada informam aos destinatários que eles revisaram suas contas no Instagram e as consideraram elegíveis para um selo azul.
Os usuários que caem no golpe são convidados a preencher um formulário e reivindicar seu selo de verificação nas próximas 48 horas.
Enquanto a campanha mostra sinais de fraude, o agente da ameaça aposta no descuido e no entusiasmo dos usuários do Instagram diante da oportunidade de atualizar o status de sua conta social.
A nova campanha foi descoberta por analistas de ameaças do Vade, um serviço de segurança de e-mail baseado em IA, que informou que as primeiras mensagens aos alvos foram enviadas em 22 de julho.
Durante a implantação, os volumes de distribuição de e-mail aumentaram duas vezes, uma em 28 de julho e outra em 9 de agosto de 2022, com mais de 1.000 mensagens de phishing por dia.
As mensagens apresentam logotipos do Instagram e do Facebook e informam ao destinatário que sua conta é elegível para um selo azul, incentivando-os a clicar em um botão incorporado que os levaria ao formulário de envio relevante.
Os usuários são avisados de que, se ignorarem a mensagem, o formulário será excluído permanentemente em 48 horas, criando uma sensação de urgência e a ilusão de uma oportunidade limitada.
O formulário de phishing está hospedado em um domínio chamado “teamcorrectionbadges”, para fazer parecer que o Instagram usa um domínio separado e dedicado para verificar os usuários.
O processo de phishing nesse site depende de um formulário de três etapas, cada etapa mostrando os logotipos do Instagram, Facebook, WhatsApp, Messenger e Meta, na tentativa de criar uma sensação de legitimidade.
O primeiro formulário solicita “nome de usuário”, o segundo solicita que a vítima digite “nome”, “e-mail” e “número de telefone”, enquanto o terceiro e último passo solicita a digitação da “senha” do usuário, para supostamente verificar se é o proprietário do conta.
Assim que a vítima concluir o processo, uma mensagem informa que sua conta já foi verificada e que a equipe do Instagram entrará em contato com ela nos próximos dois dias. Uma identificação de caso falso também é apresentada nesta etapa final.
Para entender como você pode se proteger desses golpes, é essencial saber como o programa de verificação do Instagram realmente funciona.
Primeiro, a plataforma de mídia social nunca entrará em contato com você oferecendo um selo azul. Os usuários só podem obtê-lo aplicando-se.
Em segundo lugar, a solicitação de verificação só é possível através da plataforma oficial, nunca visitando um domínio separado.
Em terceiro lugar, os selos azuis do Instagram são reservados para figuras públicas, celebridades e marcas notáveis, portanto, contas regulares não são elegíveis.
Os atores de phishing têm aproveitado a vaidade que caracteriza muitos usuários do Instagram.
As campanhas direcionadas a usuários de mídia social com e-mails de phishing são muito populares e não se limitam ao Instagram.
Para proteger sua conta, o Instagram oferece autenticação de dois fatores para segurança adicional, portanto, mesmo que você forneça todos os seus detalhes a agentes de phishing, perder o acesso à sua conta seria mais complicado.