Bleeping Computer 网站消息,一种新型网络钓鱼活动伪装成 "版权侵权 "电子邮件,试图窃取 Instagram 用户的备份代码,以帮助威胁攻击者绕过账户上配置的双因素身份验证(2FA)。
治多ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联建站的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18982081108(备注:SSL证书合作)期待与您的合作!
双因素身份验证是一种安全防护功能,要求用户在登录账户时输入一种额外的验证形式,这种验证形式通常是通过短信发送一次性密码、验证应用程序的代码或硬件安全密钥。鉴于威胁攻击者需要访问用户的移动设备或电子邮件才能登录受保护的账户,一旦用户登录凭据被盗,便可以使用 2FA 帮助保护账户安全。
在 Instagram 上配置双因素身份验证时,网站会提供八位数的备份代码,如果无法使用 2FA 验证账户,用户就可以使用这些代码重新访问账户。(用户一般在更换手机号码、丢失手机或无法访问电子邮件帐户才会使用该功能)
不过,备份代码同样有一定的安全风险,如果威胁攻击者能窃取这些代码,只需知道受害目标的凭据,就能使用未识别的设备劫持 Instagram 账户,而且这些凭据通常可以通过网络钓鱼窃取,也可以在不相关的数据泄露中出现。
"版权侵权 "电子钓鱼邮件声称收件人发布了违反知识产权保护法的内容,因此其账户受到限制,敦促收件人点击某个按钮对该决定提出上诉,从而将受害者重定向到钓鱼网页,在那里输入账户凭据和其他详细信息,这样的”套路“已被威胁攻击者多次使用。
Trustwave 安全分析师发现了"版权侵权 "电子钓鱼邮件攻击的最新变种,并表示由于 2FA 保护的采用率越来越高,促使网络钓鱼攻击者开始不断扩大目标范围,最新发现的钓鱼电子邮件假冒了 Instagram 的母公司 Met。在钓鱼邮件中,威胁攻击者向 Instagram 用户发送版权侵权投诉通知,并提示用户填写申诉表以解决问题。
钓鱼电子邮件(Trustwave)
此外,威胁攻击者还会要求受害者点击邮件中的某个按钮,一旦按照指示操作,受害目标会被”定向“到一个冒充 Meta 实际侵权门户的钓鱼网站,受害者会在该网站上点击标有 "转到确认表(确认我的账户)"的第二个按钮。
第二个按钮会重定向到另一个仿冒 Meta "上诉中心 "门户网站的网络钓鱼页面,受害者需要在该页面输入用户名和密码(两次)。在成功窃取这些用户的详细信息后,钓鱼网站会询问目标用户其账户是否受 2FA 保护,并在确认后要求输入 8 位数的备份代码。
仿冒帐户的备份代码(Trustwave)
值得注意的是,尽管"版权侵权 "电子钓鱼邮件呈现出了很明显的欺诈迹象,例如发件人地址、重定向页面和网络钓鱼页面 URL,但其令人信服的设计和”紧迫感“仍会诱使相当一部分目标泄露账户登录凭证和备份代码。
最后,网络安全专家强调,Instagram 用户应该像对待密码一样重视备份代码,做好保密工作,除非有必要访问账户,否则不要在任何地方输入。不仅如此,如果用户仍然可以访问 2FA 代码/密钥的话,那么除了在 Instagram 网站或应用程序内输入备份代码外,没有任何理由在其他地方输入备份代码。
参考文章:https://www.bleepingcomputer.com/news/security/new-phishing-attack-steals-your-instagram-backup-codes-to-bypass-2fa/
本文标题:新型网络钓鱼攻击甚至能绕过 Instagram 2FA 验证!
URL链接:http://www.gawzjz.com/qtweb2/news44/20894.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联