Usuários do Instagram são alvo de esquema de phishing

instagram-testa-recurso-que-permite-controlar-quem-pode-ver-suas-curtidas

Especialistas descobriram detectaram uma nova variedade de e-mails de phishing do Instagram. Nessa campanha de phishing, os invasores tentam enganar as vítimas para que forneçam nomes de usuário, senhas, números de telefone e, mais notavelmente, códigos de backup usados para contornar a autenticação de dois fatores (2FA).

Campanha de phishing no Instagram

O 2FA do Instagram adiciona uma camada extra de segurança a uma conta, exigindo uma segunda forma de verificação além da sua senha. Pode ser um código único enviado por mensagem de texto SMS, códigos gerados por um aplicativo de autenticação ou até mesmo pelo WhatsApp. Ao configurar o 2FA, o Instagram fornece à conta um conjunto de códigos de backup. Esses cinco números de 8 dígitos podem ser usados ao fazer login em um dispositivo não reconhecido ou se o usuário não puder mais verificar usando o método de autenticação de dois fatores (ou seja, perder o acesso a um telefone). Cada código de backup só pode ser usado uma vez.

Esses códigos estáticos são valiosos para os invasores, pois roubá-los permitiria que eles fizessem login em um dispositivo não reconhecido conhecendo apenas as credenciais do usuário, ignorando completamente qualquer 2FA.

Nova campanha de phishing

A empresa de soluções de segurança cibernética Trustwave apontou que uma nova campanha de phishing usa e-mails se passando pela empresa controladora do Instagram, Meta, alegando que a conta do destinatário está “infringindo direitos autorais”.

Além disso, o invasor também cria um senso de urgência com uma mensagem informando que uma apelação deve ser enviada dentro de 12 horas, caso contrário a conta será excluída permanentemente. Isso é o suficiente para convencer algumas vítimas e os criminosos roubarem suas contas.

usuarios-do-instagram-sao-alvo-de-esquema-de-phishing
Imagem: Reprodução | 9to5Mac

Clicar no link “Ir para o formulário de apelação” redireciona o usuário para um site de phishing inicial que se faz passar pelo portal real do Meta para apelações de violação. Está hospedado no Bio Sites, a plataforma de landing page de configuração rápida do Squarespace. Isso, em combinação com um link de notificações do Google, provavelmente ajuda a evitar a detecção de ferramentas de spam na caixa de entrada e a rastrear cliques em links.

usuarios-do-instagram-sao-alvo-de-esquema-de-phishing
Imagem: Reprodução | 9to5Mac

Se um usuário continuar clicando em “Ir para o formulário de confirmação (confirmar minha conta)”, ele será redirecionado para outro site Meta falso, desta vez para coletar detalhes da conta. As primeiras informações solicitadas ao usuário são o nome de usuário e a senha (duas vezes por qualquer motivo). Depois de fornecer as credenciais de login, o usuário é questionado se a conta tem 2FA habilitado. Clicar no botão “SIM” solicita um dos cinco códigos de backup do Instagram gerados pelo usuário. Embora já seja possível confiscar a conta, a última tela solicita o endereço de e-mail e número de telefone do usuário.

usuarios-do-instagram-sao-alvo-de-esquema-de-phishing
Imagem: Reprodução | 9to5Mac

O e-mail continua a ser o vetor mais comum de crimes cibernéticos e ataques de phishing. É essencial manter-se informado sobre maneiras de ajudá-lo a identificar e evitar e-mails maliciosos. Os elementos mais suspeitos aqui foram o e-mail do remetente (“contact-helpchannelcopyrights[.]com”), que não é afiliado ao Meta, bem como o URL de notificações do Google no botão do formulário de apelação.

Recomendações

Não compartilhe senhas ou códigos de backup fora do aplicativo Instagram. Se você acredita que foi comprometido, altere imediatamente sua senha e gere novamente novos códigos de backup. Isso pode ser feito no Instagram acessando Configurações e privacidade > Central de contas > Senha e segurança > Autenticação de dois fatores > [ Sua conta do Instagram ] > Métodos adicionais > Códigos de backup > Obtenha novos códigos.