Ένας ερευνητής ασφαλείας από την εταιρεία Sucuri, ο Luke Leal, ανακάλυψε μια νέα μέθοδο, την οποία χρησιμοποιούν οι hackers για να κλέψουν τα credentials του Instagram. Πρόκειται για μια νέα phishing εκστρατεία, που υπόσχεται στους χρήστες ότι θα τους δώσει τη δυνατότητα να φαίνεται αυθεντικός ο λογαριασμός τους (ότι θα λάβουν ένα “verification badge”).
Οι hackers χρησιμοποιούν τo phishing domain “instagramforbusiness [.] info”, και ζητούν από τους χρήστες να συμπληρώσουν διάφορες φόρμες, οι οποίες κλέβουν τα credentials τους. Οι χρήστες καλούνται να επιβεβαιώσουν το email τους, δίνοντας τo email και τον κωδικό πρόσβασής τους.
Όταν τα θύματα συμπληρώσουν τη φόρμα και πατήσουν “υποβολή”, οι πληροφορίες στέλνονται μέσω email στους hackers. Με αυτόν τρόπο είναι σε θέση να μουν άνετα στο λογαριασμό του θύματος. Συνήθως, το Instagram χρησιμοποιεί διάφορες μεθόδους για τον εντοπισμό ύποπτων συνδέσεων. Αν πράγματι ανιχνεύσει ύποπτη δραστηριότητα, ο λογαριασμός κλειδώνεται και στέλνεται στο χρήστη μια προειδοποίηση.
Για να αποφευχθεί το κλείδωμα του λογαριασμού, οι επιτιθέμενοι πρέπει να έχουν πρόσβαση είτε στον αριθμό τηλεφώνου (που έχει χρησιμοποιηθεί για τη δημιουργία του λογαριασμού) είτε στο email του θύματος. Γι’ αυτό το λόγο, φροντίζουν να έχουν κλέψει ήδη τα credentials του email.
Ο ερευνητής Leal εξηγεί πώς μπορούμε να καταλάβουμε ότι πρόκειται για phishing επίθεση. Αρχικά, αναφέρει ότι το όνομα του domain δεν είναι “instagram.com”. Έπειτα, σημειώνει ότι δεν υπάρχει το “https” και τέλος τονίζει ότι το Instagram δεν θα ζητήσει ποτέ τον κωδικό πρόσβασης ενός συνδεδεμένου email, ως επιβεβαίωση.
Σύμφωνα με τον ερευνητή, πολλοί χρήστες δελεάζονται από την απόκτηση ενός συμβόλου αυθεντικότητας. Οι hackers ξέρουν πολύ καλά πώς να προσελκύσουν τους ανυποψίαστους χρήστες.
“Πρέπει πάντα να ελέγχετε τους συνδέσμους, στους οποίους κάνετε κλικ, και να διασφαλίζετε ότι δίνετε προσωπικές πληροφορίες μόνο σε νόμιμα sites. Οι κακόβουλοι χρήστες αναζητούν συνεχώς την ευκαιρία να εξαπατήσουν τα θύματά τους με phishing εκστρατείες. Μείνετε ασφαλείς στο διαδίκτυο!”, συμπλήρωσε.
Ένας εκπρόσωπος του Instagram είπε:
“Εάν θέλουμε να επικοινωνήσουμε μαζί σας σχετικά με κάποιο θέμα, που αφορά το λογαριασμό σας, θα σας ειδοποιήσουμε και μέσα από την ίδια την εφαρμογή Instagram. Εάν λάβετε email ή κάποια άλλη ειδοποίηση (κείμενο, κλπ.), που σας φαίνεται ύποπτη, μπορείτε να ανοίξετε την εφαρμογή Instagram, για να ελέγξετε αν έχετε λάβει οποιαδήποτε ειδοποίηση εκεί. Για περισσότερη ασφάλεια, συμβουλεύουμε τα μέλη της Instagram κοινότητας να διασφαλίσουν ότι χρησιμοποιείται έλεγχος ταυτότητας δύο παραγόντων”.
