I ricercatori di Trustwave hanno recentemente identificato una sofisticata campagna di phishing mirata agli utenti di Instagram. Lo scopo di questa campagna è quello di rubare i preziosi codici di backup che costituiscono un elemento cruciale nell’autenticazione in due fattori. Questa tattica criminale, volta a prendere il controllo completo degli account Instagram, rappresenta un pericolo significativo per la sicurezza online degli utenti.
Nuova campagna phishing su Instagram
Questa campagna inizia con l’invio di e-mail di phishing, che avvertono gli utenti di presunte violazioni del copyright rilevate. Il messaggio minaccia la chiusura permanente dell’account, a meno che l’utente non compili un form entro le successive 12 ore. Per ingannare ulteriormente l’utente, il messaggio contiene un pulsante che, una volta cliccato, reindirizza l’utente a una pagina ospitata su Bio Sites, apparentemente associata a Meta, la società madre di Instagram.
Sulla pagina di Bio Sites, l’utente è invitato a confermare il proprio account cliccando su un pulsante, che apre il presunto Meta Portal Appeal Center. Qui, vengono richiesti una serie di passaggi che includono l’inserimento di username e password. E non è finita qui. La trappola è ben studiata, poiché il criminale mira anche a ottenere uno dei codici di backup di 8 cifre forniti da Instagram per bypassare l’autenticazione in due fattori.
Una volta che l’utente, ignaro, inserisce username, password e il prezioso codice di backup, i cybercriminali ottengono il controllo totale dell’account Instagram. Ciò è reso ancora più insidioso dalla scoperta dei ricercatori di Trustwave che hanno individuato diversi siti di phishing ospitati su vari domini. I criminali continuano a cambiare gli URL delle pagine al fine di eludere i controlli di sicurezza implementati da Squarespace, l’azienda proprietaria della piattaforma Bio Sites.
Gli utenti sono, dunque, fortemente incoraggiati a prestare estrema attenzione alle e-mail sospette e agli URL delle pagine a cui vengono reindirizzati. È essenziale sottolineare che Meta non richiede mai ai propri utenti di fornire username, password o codici di backup tramite simili canali in caso di presunte violazioni del copyright. Questa consapevolezza è cruciale per difendere la propria sicurezza online e proteggere gli account da attacchi di phishing sempre più sofisticati e mirati.
