Trustwave SpiderLabs は、アカウントに提供されている 2 要素認証 (2FA) をバイパスして、被害者の Instagram バックアップ コードを盗むことを目的とした、新しい種類の Instagram の「著作権侵害」フィッシングメールを発見しました。
2 要素認証は、アカウントにログインするときにリソースとデータにアクセスするために 2 つの形式の ID を必要とする追加のセキュリティを追加する方法です。
この追加のセキュリティ層は、フィッシング、ブルートフォース攻撃、資格情報の悪用など、個人情報を盗む多くのセキュリティ脅威からアカウントを保護する効果的な方法です。
Instagram で 2 要素認証を構成する場合、2FA を使用してアカウントを確認できない場合に備えて、サイトはアカウントにアクセスする代替手段としてユーザー用の 8 桁のバックアップ コードも生成します。
この最新のフィッシング試みでは、Instagram の親会社である Meta からのものであると主張する電子メール メッセージには、受信者の Instagram アカウントが著作権を侵害していると記載されています。さらに、受信者に対し、電子メール内の「異議申し立てフォーム」ボタンをクリックして 12 時間以内に異議を申し立てるよう促しています。そうしないと、アカウントが完全に削除されます。
このボタンをクリックすると、受信者はメタの中央ポータルを装った違反行為用の偽のメタ サイトに誘導され、そこで「確認フォームに移動(アカウントの確認)」ボタンをクリックすると、実際のフィッシング Web サイトにリダイレクトされます。
このフィッシング サイトは、偽のメタ「Appeal Center」ポータルを装い、新しく作成されたドメインでホストされています。ユーザーが「続行」ボタンをクリックすると、受信者はユーザー名とパスワードの入力を要求されます (2 回)。
パスワードを入力すると、フィッシング サイトは Instagram アカウントで 2 要素認証が有効になっているかどうかをユーザーに尋ね、確認されたら 8 桁のバックアップ コードを要求します。
最終的に、攻撃者は被害者のアカウントにログインするために必要な情報をすべて入手してしまいます。この盗まれた情報はサイバー犯罪者によって使用され、地下で販売されたり、アカウントの乗っ取りに使用されたりする可能性があります。
「これを防ぐには、パスワードやコードを共有しないようにし、このデータの保存方法に注意してください。侵害された場合は、直ちにパスワードを変更するか、新しいバックアップ コードを再生成してください。」アドバイスするTrustwave SpiderLabs のブログ投稿。