Instagram フィッシング詐欺メールの新種が検出されました。このメールは、攻撃者が被害者を騙してユーザー名、パスワード、電話番号、そして最も注目すべきは 2 要素認証 (2FA) を回避するために使用されるバックアップ コードを入手しようとするものです。

Instagramの2FAは、パスワードに加えて2つ目の認証方法を要求することで、アカウントのセキュリティをさらに強化します。認証方法としては、SMSテキストメッセージで送信されるワンタイムコード、認証アプリで生成されるコード、あるいはWhatsAppから送信されるコードなどが挙げられます。

2要素認証を設定すると、Instagramはアカウントにバックアップコードを提供します。これらの5桁の8桁の数字は、認識されていないデバイスにログインする場合、またはユーザーが2要素認証方式で認証できなくなった場合（例：携帯電話にアクセスできなくなった場合）に使用できます。各バックアップコードは1回のみ使用できます。

これらの静的コードは攻撃者にとってまさに金のなる木です。盗めば、ユーザーの認証情報だけで未知のデバイスにログインでき、2FAを完全に回避できるからです。攻撃者はどのようにしてこれらを入手するのでしょうか？一つの方法は、巧妙に見えるフィッシング攻撃です…

新たなInstagramフィッシングキャンペーン

仕組みは以下のとおりです…

「異議申し立てフォームへ」リンクをクリックすると、ユーザーはMetaの違反申し立てポータルを装ったフィッシングサイトにリダイレクトされます。このサイトは、SquarespaceのクイックセットアップランディングページプラットフォームであるBio Sitesでホストされています。これは、Googleの通知リンクと組み合わせることで、受信トレイのスパムツールによる検出を回避し、リンククリックを追跡するのに役立つと考えられます。

ユーザーが「確認フォームへ（アカウントを確認）」をクリックして先に進むと、別の偽のメタサイトにリダイレクトされ、今度はアカウント情報を収集します。ユーザーに最初に要求される情報は、ユーザー名とパスワード（何らかの理由で2回）です。ログイン認証情報を入力すると、アカウントで2要素認証（2FA）が有効になっているかどうかを尋ねられます。

「はい」ボタンをクリックすると、生成された5つのInstagramバックアップコードのうち1つを入力するよう求められます。アカウントを差し押さえることはすでに可能ですが、最後の画面でユーザーのメールアドレスと電話番号の入力を求められます。

メールは依然として、サイバー犯罪やフィッシング攻撃の最も一般的な手段です。悪意のあるメールを識別し、回避するための方法について、常に知識を深めておくことが重要です。

ご注意ください。Instagram アプリの外部でパスワードやバックアップ コードを共有しないでください。

不正アクセスされたと思われる場合は、直ちにパスワードを変更し、新しいバックアップコードを再生成してください。Instagramでは、「設定とプライバシー」 > 「アカウントセンター」 > 「パスワードとセキュリティ」 > 「2段階認証」 >「[ Instagramアカウント]」> 「その他の方法」 > 「バックアップコード」 > 「新しいコードを取得」から変更できます。

Trustwave の完全なレポートはここからご覧いただけます。

注目の画像は9to5Mac/Sandeep Swarnkarより。

havebin.com を Google ニュース フィードに追加します。