Instagram: scoperto attacco phishing che ruba codici di backup

Gli analisti della società di sicurezza Trustwave hanno scoperto una nuova campagna di phishing che prende di mira Instagram. Secondo quanto riportato dai ricercatori di sicurezza, gli utenti ricevono delle finte e-mail di Meta, in cui viene notificata una denuncia di violazione del copyright. L'e-mail richiede quindi all'utente di compilare un modulo di ricorso per risolvere il problema. Naturalmente si tratta di un tentativo di truffa volto a rubare i codici di backup degli utenti di Instagram, in modo che gli hacker possono aggirare l'autenticazione a due fattori (2FA) configurata sull'account. L'uso della 2FA aiuta a proteggere l’account nel caso le credenziali dovessero essere rubate o acquistate da un hacker. Per poter accedere all’account protetto, l'autore della minaccia avrebbe infatti bisogno dell'accesso al dispositivo mobile o alla posta elettronica dell’utente.

Instagram: come funziona la campagna di phishing per rubare i codici di backup

La campagna di phishing contro gli utenti Instagram è semplice. Se l’utente cade nella trappola, cliccando sul tasto “Vai al modulo”, questa viene indirizzato a un sito di phishing che si spaccia per il sito ufficiale Meta. Qui la vittima cliccherà su un secondo pulsante “Vai al modulo di conferma” (o “Conferma il mio account”). Tale pulsante reindirizza a un'altra pagina di phishing progettata per apparire come il portale “Appeal Center” di Meta. Alla vittima viene infatti richiesto di inserire nome utente e password (due volte). Dopo aver sottratto questi dettagli, il sito di phishing chiede alla vittima se il suo account è protetto da 2FA e, dopo aver confermato, richiede il codice di backup di 8 cifre.

Nonostante la campagna sia caratterizzata da molteplici segnali di frode, come l'indirizzo del mittente, la pagina di reindirizzamento e gli URL delle pagine di phishing, il design convincente e il senso di urgenza potrebbero comunque indurre una percentuale significativa di possibili a rivelare le credenziali del proprio account e i codici di backup. Questi codici devono essere sempre privati e archiviati in modo sicuro. Nessun servizio o piattaforma chiede agli utenti i propri codici personale. Quindi, se un utente dovesse trovarsi in una situazione simile, è molto probabile che questo sia caduto vittima di un tentativo di truffa.