Novo esquema de phishing rouba códigos de autenticação em duas etapas do Instagram
O Instagram encontra-se a ser alvo de uma nova campanha de phishing, que tenta enganar os utilizadores com vista a obter os códigos de autenticação em duas etapas dos mesmos – e consequentemente, levar ao roubo das contas.
A autenticação em duas etapas é uma funcionalidade que garante uma camada extra de segurança, onde os utilizadores necessitam de realizar passos adicionais para acederem às suas contas – normalmente através da verificação de um código único enviado via SMS ou por apps de autenticação, bem como chaves de segurança físicas.
Este sistema fornece uma camada adicional de proteção para contas online, e certamente que é recomendado para qualquer plataforma. No caso do Instagram, quando a autenticação em duas etapas é ativada, os utilizadores são aconselhados a guardarem ainda um conjunto de códigos de segurança de backup, que permitem aceder à conta no caso de não ser possível de se usar os métodos de autenticação alternativos.
Estes códigos devem ser mantidos de forma segura, e usados apenas em casos de emergência onde outros meios de autenticação não sejam possíveis. No entanto, é exatamente neste ponto que uma nova campanha se encontra a focar.
Recentemente foi descoberta uma campanha contra utilizadores do Instagram, que se faz passar por falsas notificações sobre violações de direitos de autor, nas contas dos utilizadores. De acordo com a empresa de segurança Trustwave, os atacantes enviam um email para as potenciais vítimas, a indicar que um conteúdo da sua conta violou as regras, e é necessário aceder a um link para evitar a suspensão da conta.
Se os utilizadores acederem ao link para resolver o problema, são direcionados para um falso site de login do Instagram, que questiona pelo código de segurança de backup das contas dos utilizadores.
Se as vítimas inserirem o código, estão automaticamente a enviar para os atacantes os dados necessários para que estes possam contornar a autenticação em duas etapas da conta.
Como sempre, os códigos de segurança de backup devem ser salvaguardados, e em nenhum momento partilhado com terceiros – e o mesmo aplica-se também a outros meios de autenticação via códigos únicos criados aleatoriamente.
A menos que seja num caso de emergência, onde outros meios não estejam disponíveis, estes códigos não devem ser usados.