Instagram, attenzione al phishing che prende di mira i codici di backup

Una nuova campagna di phishing che si basa sull'invio di email che millantano una fantomatica "violazione del copyright" ha l'obiettivo di sottrarre con l'inganno i codici di backup degli utenti di Instagram, consentendo all'attore di minaccia di aggirare l'autenticazione a due fattori configurata sull'account e prenderne il controllo.

L'autenticazione a due fattori è una funzione di sicurezza che richiede agli utenti di inserire una forma aggiuntiva di verifica nel momento in cui si esegue il log-in di un account. Si tratta solitamente di codici monouso inviati su un canale di comunicazione separato e differente (spesso tramite SMS) rispetto a ciò che si sta usando, allo scopo di poter avere un buon grado di certezza che chi stia accedendo all'account sia effettivamente il legittimo proprietario.

Su Instagram la configurazione dell'autenticazione a due fattori prevede di annotare anche alcuni codici di backup di otto cifre che possono essere utilizzati per accedere all'account se non fosse temporaneamente possibile verificare il log-in tramite l'autenticazione a due fattori. Si tratta di una misura che aiuta gli utenti qualora dovessero cambiare il proprio numero di telefono o smarrire il cellulare o ancora perdere l'accesso all'email, consentendo loro di poter continuare ad utilizzare il proprio account senza problemi.

È chiaro che questi codici vadano conservati con cura, dal momento che chiunque fosse in possesso di uno di essi potrebbe aver vita facile a compromettere l'account Instagram e prenderne il controllo, quando in possesso anche delle altre credenziali di accesso, user e password (che i malintenzionati spesso trovano nei grandi database di dati rubati).

Nel caso della nuova campagna di phishing, scoperta da Trustwave, il messaggio email che cita la presunta violazione di copyright afferma che l'utente ha pubblicato qualcosa in violazione delle leggi sul diritto d'autore e per questo motivo l'account è stato bloccato. Viene quindi richiesto con urgenza di fare click su un pulsante per presentare ricorso: in questo modo la vittima viene indirizzata verso pagine che imitano il layout delle pagine ufficiali di Instagram ma sono in realtà contraffatte. Su queste pagine viene richiesto l'inserimento delle credenziali e successivamente di verificare l'account inserendo il codice di backup di 8 cifre. A questo punto l'attore di minaccia dispone di tutte le informazioni indispensabili per poter prendere il controllo dell'account Instagram.

Ci sono diversi segnali che dovrebbero suonare come un campanello d'allarme (l'indirizzo email del mittente, l'url delle pagine contraffatte, la richiesta di inserire credenziali), ma l'urgenza con cui viene presentata la comunicazione, che dovrebbe essere anch'essa un campanello d'allarme, può portare comunque una parte degli utenti a compilare quanto richiesto nel timore di perdere l'accesso al proprio account.

Nel caso specifico di Instagram è sufficiente ricordare una semplice "regola" per la sicurezza dei codici di backup: utilizzarli solamente all'interno dell'app o sul sito web raggiunto solo dopo aver digitato l'indirizzo legittimo. Non prestare mai fiducia ad alcun sito raggiunto cliccando su link o pulsanti o, almeno, non prima di aver controllato scrupolosamente il suo indirizzo URL.