Un nuevo ataque de phising a usuarios de Instagram roba los códigos de doble factor

Para meterles prisa y que bajen la guardia la amenaza asegura que ha habido una violación de derechos de autor y la cuenta se suspenderá.

Alberto Payo

Periodista

Guardar

Cuenta de Instagram secuestrada (Fuente: Secureworks)
Cuenta de Instagram secuestrada (Fuente: Secureworks)

Investigadores de seguridad han dado con una nueva campaña de phising que se dirige a usuarios de la red social Instagram y que usa varias técnicas para engañar a las víctimas. 

El objetivo de la misma es dirigir a los 'incautos' a páginas maliciosas y hacerse con sus códigos de doble autenticación.

Los cibermalos se sirven de una plantilla de infracción de derechos de autor para engañar a las víctimas y crearlas una falsa sensación de urgencia, con el fin de que no se lo piensen mucho a la hora de aportar sus códigos. 

Estas claves se generan cuando los usuarios desean iniciar sesión en un dispositivo no reconocido cuando se ha habilitado la autenticación de dos factores, un método de seguridad muy extendido en servicios y herramientas digitales. 

La lista de códigos de respaldo (cinco códigos de ocho dígitos) se puede regenerar cuando los usuarios inician sesión en sus cuentas de Instagram. 

Un informe de TrustWave señala que durante la fase inicial del ataque los actores de amenazas se hicieron pasar por Meta enviando correos electrónicos a múltiples víctimas. 

Los citados emails señalan que es necesario completar un "formulario de apelación" en 12 horas. Si no se cumplimenta se amenaza con eliminar permanentemente la cuenta de Instagram. Obviamente, esto solo es un engaño de los cibermalos. 

Cómo dan sus datos

La realidad es que los usuarios son redirigidos a un sitio falso cuando pinchan en el botón incrustado del correo electrónico. Esta página que imita a Meta actúa como puente hacia el sitio de phising real. 

Posteriormente, se les pide un nombre de usuario y contraseña. Además, se les pregunta si su autenticación de doble factor está habilitada para la cuenta. Si responden afirmativamente el sitio web pide el código de respaldo y los redirige a la página siguiente. La página final de este último sitio web solicita la dirección de correo electrónico y el número de teléfono del usuario.

Según recoge Cybersecuritynews, los actores de amenazas han ido mejorando estos sitios web en cuanto a su apariencia. 
 

Archivado en: