Novo ataque de phishing rouba seus códigos de backup do Instagram para burlar a autenticação de dois fatores
21 de Dezembro de 2023

Uma nova campanha de phishing se passando por um e-mail de 'violação de direitos autorais' tenta roubar os códigos de backup dos usuários do Instagram, permitindo que hackers contornem a autenticação em duas etapas configurada na conta.

A autenticação em duas etapas é um recurso de segurança que requer que os usuários insiram uma forma adicional de verificação ao fazer login na conta.

Essa verificação geralmente está na forma de códigos de acesso enviados via mensagem de texto SMS, códigos de um aplicativo de autenticação ou através de chaves de segurança de hardware.

Usar a autenticação em duas etapas ajuda a proteger suas contas se suas credenciais forem roubadas ou compradas em um mercado de cibercrime, pois o ator da ameaça precisaria ter acesso ao seu dispositivo móvel ou e-mail para fazer login na sua conta protegida.

Ao configurar a autenticação em duas etapas no Instagram, o site também fornecerá códigos de backup de oito dígitos que podem ser usados para recuperar o acesso às contas se você não puder verificar sua conta usando a autenticação em duas etapas.

Isso pode acontecer por vários motivos, como trocar seu número de celular, perder seu telefone e perder o acesso à sua conta de e-mail.

No entanto, os códigos de backup apresentam algum risco, pois se um ator de ameaça puder roubar esses códigos, ele poderá sequestrar contas do Instagram usando dispositivos não reconhecidos, simplesmente conhecendo as credenciais do alvo, que podem ser roubadas por meio de phishing ou encontradas em violações de dados não relacionadas.

As mensagens de phishing de violação de direitos autorais afirmam que o destinatário postou algo que viola as leis de proteção à propriedade intelectual e, portanto, sua conta foi restrita.

Os destinatários dessas mensagens são instados a clicar em um botão para recorrer da decisão, que os redireciona para páginas de phishing onde inserem suas credenciais de conta e outros detalhes.

O mesmo tema foi usado várias vezes, inclusive contra usuários do Facebook, e facilitou as cadeias de infecção para o ransomware LockBit e o malware BazaLoader, entre outros.

A variante mais recente desses ataques foi identificada pelos analistas da Trustwave, que relatam que a crescente taxa de adoção da proteção de autenticação em duas etapas leva os atores de phishing a ampliar seu escopo de mira.

Os e-mails de phishing mais recentes se passam pela Meta, empresa-mãe do Instagram, alertando que os usuários do Instagram receberam reclamações de violação de direitos autorais.

O e-mail então solicita ao usuário que preencha um formulário de recurso para resolver o problema.

Ao clicar no botão, o alvo é levado para um site de phishing se passando pelo portal real de violações da Meta, onde a vítima clica em um segundo botão rotulado como "Ir para o Formulário de Confirmação (Confirmar Minha Conta)".

O segundo botão redireciona para outra página de phishing projetada para parecer o portal "Centro de Recurso" da Meta, onde as vítimas são solicitadas a inserir seu nome de usuário e senha (duas vezes).

Depois de coletar esses detalhes, o site de phishing pergunta ao alvo se sua conta é protegida pela autenticação em duas etapas e, após a confirmação, solicita o código de backup de 8 dígitos.

Apesar da campanha ser caracterizada por diversos sinais de fraude, como o endereço do remetente, a página de redirecionamento e as URLs da página de phishing, o design convincente e o senso de urgência ainda podem enganar uma porcentagem significativa de alvos a entregar suas credenciais de conta e códigos de backup.

Os códigos de backup devem ser mantidos em privado e armazenados de forma segura.

Os titulares de contas devem tratá-los com o mesmo nível de sigilo que suas senhas e se abster de inseri-los em qualquer lugar, a menos que seja necessário para acessar suas contas.

Se você ainda tem acesso aos seus códigos/chaves de autenticação em duas etapas, nunca há motivo para inserir seus códigos de backup em qualquer lugar que não seja no site ou aplicativo do Instagram.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...