Segundo os analistas da Trustwave. uma nova campanha de phishing rouba códigos de backup do Instagram para contornar 2FA.
A autenticação de dois fatores é um recurso de segurança que exige que os usuários insiram uma forma adicional de verificação ao fazer login na conta.
Essa verificação geralmente ocorre na forma de senhas únicas enviadas por mensagem de texto SMS, códigos de um aplicativo de autenticação ou por meio de chaves de segurança de hardware.
O uso de 2FA ajuda a proteger suas contas caso suas credenciais sejam roubadas ou compradas em um mercado de crimes cibernéticos, pois o autor da ameaça precisaria de acesso ao seu dispositivo móvel ou e-mail para fazer login na sua conta protegida.
Adicionalmente, também são fornecidos códigos de backup de oito dígitos, que podem ser usado em uma situação de emergência.
Agora, uma nova campanha de phishing que finge ser um e-mail de “violação de direitos autorais” tenta roubar os códigos de backup dos usuários do Instagram, permitindo que hackers contornem a autenticação de dois fatores configurada na conta.
Phishing rouba códigos de backup do Instagram para contornar 2FA
Sim. Uma nova campanha de phishing rouba códigos de backup do Instagram para contornar 2FA.
Acontece que ao configurar a autenticação de dois fatores no Instagram, o site também fornecerá códigos de backup de oito dígitos que podem ser usados para recuperar o acesso às contas caso você não consiga verificar sua conta usando 2FA.
Isso pode acontecer por vários motivos, como troca de número de celular, perda de telefone e perda de acesso à sua conta de e-mail.
No entanto, os códigos de backup apresentam alguns riscos, pois se um agente de ameaça puder roubar esses códigos, ele pode sequestrar contas do Instagram usando dispositivos não reconhecidos simplesmente conhecendo as credenciais do alvo, que podem ser roubadas por meio de phishing ou encontradas em violações de dados não relacionadas.
Mensagens de phishing por violação de direitos autorais afirmam que o destinatário postou algo que viola as leis de proteção à propriedade intelectual e, portanto, sua conta foi restrita.
Os destinatários dessas mensagens são incentivados a clicar em um botão para recorrer da decisão, o que os redireciona para páginas de phishing onde inserem as credenciais de sua conta e outros detalhes.
O mesmo tema foi usado diversas vezes, inclusive contra usuários do Facebook, e facilitou cadeias de infecção para o ransomware LockBit e o malware BazaLoader, entre outros.
A variante mais recente desses ataques foi detectada pelos analistas da Trustwave, que relatam que a crescente taxa de adoção da proteção 2FA leva os atores de phishing a ampliar seu escopo de segmentação.
Os últimos e-mails de phishing se fazem passar pela Meta, controladora do Instagram, alertando que os usuários do Instagram receberam reclamações de violação de direitos autorais. O e-mail solicita que o usuário preencha um formulário de apelação para resolver o problema.
Clicar no botão leva o alvo a um site de phishing que se faz passar pelo portal de violações reais do Meta, onde a vítima clica em um segundo botão denominado “Go to Confirmation Form (Confirm My Account)” (Vá para o formulário de confirmação (confirme minha conta)).
O segundo botão redireciona para outra página de phishing projetada para aparecer como o portal “Appeal Center” da Meta, onde as vítimas são solicitadas a inserir seu nome de usuário e senha (duas vezes).
Após desviar esses detalhes, o site de phishing pergunta ao alvo se sua conta está protegida por 2FA e, após a confirmação, solicita o código de backup de 8 dígitos.
Apesar da campanha ser caracterizada por vários sinais de fraude, como o endereço do remetente, a página de redirecionamento e os URLs das páginas de phishing, o design convincente e o senso de urgência ainda podem induzir uma porcentagem significativa de alvos a fornecer credenciais de conta e códigos de backup.
Os códigos de backup devem ser mantidos em sigilo e armazenados com segurança. Os titulares de contas devem tratá-las com o mesmo nível de sigilo que suas senhas e abster-se de digitá-las em qualquer lugar, a menos que seja necessário para acessar suas contas.
Se você ainda tiver acesso aos seus códigos/chaves 2FA, nunca há motivo para inserir seus códigos de backup em qualquer lugar que não seja no site ou aplicativo do Instagram.