Phish ou sem peixe? Cuidado com os golpes de phishing do Instagram direcionados a códigos de backup!
O mais recente esquema de phishing envolve o envio de missivas eletrônicas alegando uso não autorizado de material protegido por direitos autorais como uma manobra para obter credenciais de login confidenciais de usuários desavisados do Instagram. Ao enganar os destinatários para que cumpram os pedidos de verificação de conta, os cibercriminosos podem obter acesso às suas contas e assumir o comando sobre elas, explorando vulnerabilidades nas medidas de segurança da plataforma.
A autenticação de dois fatores (2FA) é uma medida de segurança robusta que exige que os usuários forneçam uma camada extra de confirmação ao fazer login em suas contas. Geralmente, esses elementos de validação suplementares assumem a forma de códigos de uso único transmitidos através de canais alternativos, distintos daqueles utilizados para tentativas de login. Esta abordagem serve para reforçar a garantia relativamente à autenticidade do utilizador que tenta aceder, validando assim a sua afirmação como legítimo proprietário da conta.
Para garantir a máxima segurança no Instagram, a plataforma emprega uma camada adicional de proteção conhecida como autenticação de dois fatores (2FA). Como parte deste processo, os usuários devem gerar e registrar vários códigos de backup de oito caracteres que podem ser utilizados caso encontrem dificuldades com o processo inicial de verificação de login envolvendo dois fatores. Esses códigos alternativos servem como uma rede de segurança para indivíduos que podem ter alterado seu número de telefone, perdido seu dispositivo ou não conseguirem acessar sua conta de e-mail. Ao ter esses códigos prontamente disponíveis, os usuários podem continuar a manter o controle sobre suas contas sem interrupções.
É imperativo manter um elevado nível de vigilância na preservação destes códigos, uma vez que a sua perda ou comprometimento pode resultar em violações de segurança significativas. Dada a prevalência de credenciais de login roubadas, os indivíduos que possuem o código e combinações válidas de nome de usuário/senha podem facilmente obter acesso não autorizado a uma conta do Instagram.
Na recente campanha de phishing identificada pela Trustwave, o e-mail fraudulento comunica que a sua publicação de conteúdo protegido por direitos autorais viola a lei aplicável, levando à suspensão da sua conta. A mensagem solicita que você clique urgentemente em um botão para entrar com um recurso, direcionando-o para sites falsos que imitam a interface genuína do Instagram. Ao chegar a esses sites, os usuários são instruídos a inserir suas credenciais de login e posteriormente verificar suas contas inserindo seus códigos de recuperação de oito dígitos. Ao fazer isso, o perpetrador obtém acesso a informações confidenciais suficientes para assumir o controle da conta do Instagram do usuário comprometido.
Vários indicadores podem alertar o destinatário sobre possíveis atividades fraudulentas, como o endereço de e-mail de um remetente desconhecido ou o URL de um site suspeito. No entanto, o sentido de urgência transmitido na mensagem ainda pode fazer com que alguns indivíduos atendam ao pedido por medo de perderem o acesso à sua conta.
Ao utilizar o Instagram, é altamente recomendável seguir uma única precaução para proteger seus códigos de backup. Esta regra determina que você só deve utilizar esses códigos dentro do aplicativo ou na plataforma acessada através do site oficial, inserindo o endereço correto. É crucial nunca confiar em sites desconhecidos que possam ser acessados através de hiperlinks ou botões e, em vez disso, ter cuidado ao verificar seus URLs antes de prosseguir.
*️⃣ Link da fonte: