11 months ago
203
Su queste pagine vi invitiamo sempre a utilizzare l'autenticazione a due fattori (o meglio ancora le passkey) per proteggere i vostri account, ma cosa fare se consegniamo anche il secondo codice di autenticazione a un malintenzionato?
È quanto avviene con il phishing, un tipo di attacco informatico che ci spinge a rivelare i nostri dati di accesso a qualcuno che si finge del servizio clienti di una piattaforma, e che viene attualmente utilizzato in maniera molto elaborata per entrare nel nostro account Instagram (sapete qual è la differenza tra antivirus e antimalware?).
È quanto scoperto dalla società di sicurezza informatica Trustwave, che ha pubblicato il meccanismo di azione dell'attacco e come difendersi, o quantomeno come insospettirsi.
Giusto per capire cosa sta succedendo, per aumentare la sicurezza del vostro account Instagram, la piattaforma vi permette di impostare l'autenticazione a due fattori, ovvero un codice da inserire a ogni nuovo accesso.
Questo codice può essere creato da un'app come Google Authenticator o Microsoft Authenticator, inviato via SMS o anche da WhatsApp, ma per essere più sicuri Instagram mette a vostra disposizione anche una serie di codici di backup, cinque numeri a 8 cifre che possono essere utilizzati una volta sola e che potete stampare o salvare per poter entrare nel vostro account anche senza telefono.
E questi codici sono l'oggetto del desiderio della campagna di phishing di cui stiamo parlando, perché consentono di bypassare gli altri metodi di autenticazione basati sul telefono.
Ma come funziona l'aggressione? Tutto inizia da un'apparentemente innocua email (e qui dovreste insospettirvi, ma vediamo dopo perché), che, nella grafica e nei contenuti, si spaccia come proveniente da Meta e con toni allarmistici vi avverte che il vostro account sta "violando i diritti d'autore".
Il messaggio crea un senso di urgenza con un messaggio in cui vi si avverte che dovete presentare un ricorso entro 12 ore, pena l'eliminazione dell'account.
E un ignaro utente, spaventato, cosa fa? Clicca sul link, un pulsante denominato "Vai al modulo di ricorso".
Trustwave osserva che questo link non rimanda a Meta, ma contiene un collegamento per le notifiche di Google (secondo campanello di allarme).
Email di phishing. Fonte: Trustwave
Dopo ave cliccato sul pulsante, l'utente viene reindirizzato a un sito che mima in maniera molto efficace la pagina di Meta, ma che è ospitato su Bio Sites, la piattaforma di landing page a configurazione rapida di Squarespace (terzo campanello di allarme: non siete sul sito di Meta!).
Perché Bio Sites e il link di notifiche di Google? Probabilmente per evitare il rilevamento dagli strumenti di spam di Gmail (o del vostro provider) e tenere traccia dei clic.
A questo punto se l'utente clicca sul pulsante Vai al modulo di conferma (Conferma il mio account) (Go to confirmation form), verrete indirizzati al sito di phishing vero e proprio, creato per raccogliere i vostri dati (ancora, non Meta: quarto campanello di allarme, bisogna sempre guardare il campo degli indirizzi del browser).
Due siti Meta fasulli. Il primo ospitato su Bio Sites e il secondo, a sinistra, per raccogliere i vostri dati. Fonte: Trustwave
Adesso verranno richieste le credenziali di accesso, email e password (due volte), e dopo averle fornite verrà chiesto se è stata abilitata l'autenticazione a due fattori (2FA).
Cliccando su Sì (Yes), verrà chiesto uno dei cinque codici di backup di Instagram generati dall'utente, e giusto per maggiore sicurezza verrà chiesto anche di inserire l'indirizzo email e il numero di telefono.
Richiesta di codice di autenticazione a due fattori. Fonte: Trustwave
I dati di accesso saranno raccolti, e i malintenzionati potranno entrare nell'account Instagram della vittima, potenzialmente anche cambiando password ed escludendola dal proprio account.
Come difendersi? Come abbiamo visto sono diversi i campanelli di allarme che dovrebbero insospettirci, ma il primo è il mittente dell'email. Se si guarda l'indirizzo email da cui proviene la richiesta, si vede che si tratta di contact-helpchannelcopyrights[.]com, che non c'entra nulla con Meta.
E lo stesso per quanto riguarda gli indirizzi dei vari collegamenti. Come potete vedere, anche attacchi molto elaborati come questo presentano degli aspetti che dovrebbero insospettirci.
In ogni caso cercate di non entrare mai nei siti seguendo i link proposti, ma se possibile sempre inserendo voi l'indirizzo nel browser, e non condividete mai password e codici di accesso al di fuori di Instagram.
Se doveste accorgervi di aver dato i vostri dati di accesso a un malintenzionato, cambiate immediatamente la password e generate nuovi codici di backup andando su Instagram, poi cliccando su Impostazioni e privacy > Centro account > Password e sicurezza > Autenticazione a due fattori > [Il tuo account Instagram] > Metodi aggiuntivi > Codici di backup > Ottieni nuovi codici.
C'è un altro aspetto: su Bio.site Trustwave ha trovato diversi siti che fingono di essere di Meta, e ha notato che mentre alcuni non rimandano più a siti di phishing attivi, altri vengono costantemente aggiornati, il che suggerisce come i malintenzionati continuino a migliorare le loro "trappole".
English (US)