A kétlépcsős azonosítással egy extra védelmi réteget adhatunk hozzá a felhasználói fiókjainkhoz: ezáltal nem lesz elég a jelszó a belépéshez, még egy kódot is meg kell adnunk, amit hitelesítő alkalmazásban vagy SMS-ben kaphatunk meg. Mindez a támadók dolgát is megnehezíti… már amennyiben nem találnak ki egy módszert, amivel még ezt is megszerzik.

Úgy tűnik, az Instagram esetében meg is találták a „rést a pajzson” a rosszindulatú felek – írja a Hvg.hu. A platform ugyanis, amikor beállítjuk a kétlépcsős opciót, rendelkezésünkre bocsát néhány tartalék biztonsági kódot, amik akkor jöhetnek jól, ha nem férünk hozzá a hitelesítő alkalmazásunkhoz, vagy valamilyen okból kifolyólag nem kapjuk meg az SMS-t. Ez áll egy új támadás középpontjában is, mert ezt nekünk kell elmentenünk későbbre, és óvatosnak kell lennünk, mikor és hol adjuk meg őket.

A Trustwave elemzői által feltárt támadásban a rosszindulatú felek a Meta nevében egy olyan e-mailt küldenek ki a felhasználóknak, amiben azt állítják: megsértett valamiféle szerzői jogot – ismerteti a Bleeping Computer. A probléma úgy oldható meg, hogy a felhasználó rákattint a levélben található linkre, ami egy fellebbezési űrlap – ilyesmiről persze szó sincs;

valójában egy adathalász honlapon köt ki az ember, ami a Meta arculati elemeinek felhasználásával próbál legitimnek tűnni.

Itt egy újabb linkre kell kattintani, és ezután be kell írni az instagramos felhasználónév-jelszó párost. Ezen a ponton a rosszindulatú felek már meg is szerezték az adatait, ám belépni még nem tudnak, ha aktív a kétlépcsős hitelesítés. Erre rá is kérdeznek, és ha a felhasználó úgy felel, van ilyen védvonala, meg kell adnia a nyolc számjegyű tartalék biztonsági kódot is – amit a kétlépcsős funkció beállításakor kellett elmenteni.

Bár ezt a szakértők már nem részletezik – jegyzi meg a Hvg.hu –, de az adathalász oldalon bizonyára azért ezt a biztonsági kódot kérik, szemben a hitelesítő alkalmazás által generált változattal, mert utóbbi kód rövid időközönként elévül. Ezzel szemben, a nyolcjegyű biztonsági kódok nem járnak le, bármikor felhasználhatók (de minden kód csak egyszer, és ha a profilban újakat generál valaki, a régiek elévülnek). Az SMS-es kódküldés értelemszerűen nem működik, lévén azt a Meta rendszere küldi ki, itt pedig egy támadó által létrehozott oldalról van szó.

A hírportál szerint a támadás elleni védekezés kifejezetten egyszerű:

soha ne adjon meg adatokat ismeretlen oldalakon, az pedig főleg legyen gyanús, ha a nyolcjegyű biztonsági kódot kéri egy oldal.

Mindig ellenőrizze, ha valamilyen komoly problémát vet fel egy e-mail: ki a feladó, valódi e-mail-címnek tűnik, ahonnan a levél jött? Plusz, ha mégis megnyitotta a benne foglalt linket, azt is ellenőrizze a böngésző címsávjában. Ami pedig kiemelten fontos: mindenképp biztonságos helyre mentse el a tartalék kódjait, és csak a hivatalos Instagram appban, vagy az instagram.com webhelyen adja meg – olvasható.