Instagram i nietypowy atak. Phishing z rzekomym uwierzytelnianiem dwuskładnikowym
Korzystający z Instagrama powinni wzmóc czujność podczas logowania i zakładania nowych kont. Badacze bezpieczeństwa informują o nowym, nietypowym ataku, który do phishingu wykorzystuje mechanizm "udający" uwierzytelnianie dwuskładnikowe.
Na szczegóły zwracają uwagę badacze z firmy Sophos. W sieci znaleziono fałszywą stronę logowania do serwisu Instagram, która dobrze udaje tę autentyczną. Zadbano o wszystkie szczegóły, w tym ważny certyfikat, przez co na pierwszy rzut oka można przyczepić się tylko do nieznanej domeny – obok paska adresu widnieje jednak zielona kłódka, a adres rozpoczyna się od HTTPS.
Atak zaczyna się od fałszywej wiadomości, która trafia na na skrzynkę odbiorczą użytkownika serwisu Instagram. To e-mail informujący o rzekomej konieczności potwierdzenia logowania kodem. Czujne osoby powinny zwrócić uwagę na brak spacji przed ostatnim zdaniem w treści, jednak w praktyce łatwo to zignorować, szczególnie że wiadomość jest krótka, czytelna i sprawia wrażenie wiarygodnej.
Kliknięcie w link przenosi ofiarę na fałszywą stronę logowania i otwiera drogę dla atakujących, którzy czekają, aż użytkownik poda swoje dane. W tym przypadku w ich ręce może trafić numer kontaktowy, imię, nazwa użytkownika i hasło do Instagrama. Poza dostępem do konta w serwisie społecznościowym, możliwe są także inne problemy, jeśli użytkownik zastosował te same dane logowania w innych serwisach.
Nietypowy phishing na Instagramie
Phishing, czyli wyłudzanie prywatnych informacji, w tym danych logowania poprzez prezentację fałszywych stron użytkownikom, nie jest w sieci niczym nowym. Na dobrychprogramach wielokrotnie przedstawialiśmy przypadki dotyczące banków i systemów płatności internetowych.
Wykorzystanie fałszywego mechanizmu uwierzytelniania dwuskładnikowego w opisywanym przypadku jest jednak nowością, która może uśpić czujność użytkowników Instagrama. Osoby, które nie przykładają dużej wagi do bezpieczeństwa w sieci, w tej sytuacji niekoniecznie zorientują się, że to, co widzą na ekranie, to fałszywa strona logowania, a ich dane mogą zostać wykradzione.
Każdorazowo warto więc bacznie przyglądać się zarówno wiadomościom e-mail, jak i samym stronom logowania, zwracając uwagę nie tylko na certyfikaty, ale i pełne adresy stron.
Pamiętać należy także o zdrowym rozsądku. Jeśli w danej chwili użytkownik nie podejmował próby logowania na swoje konto, wiadomość o konieczności dodatkowego potwierdzenia kodem najrozsądniej będzie po prostu zignorować.
Aplikację Instagrama można pobrać z naszego katalogu oprogramowania. Do wyboru wersja na Androida oraz iOS-a.
