Фишеры атакуют пользователей Instagram

Новая атака выглядит куда более подготовленной, чем более ранние версии. Теперь email сообщение не только содержит поля ввода логина и пароля, но и задействует в схеме верификации алгоритмы двухфакторной аутентификации (2FA).

На этот раз внимание пользователей социальной сети привлекается с помощью уведомления о том, что кто-то выполнил вход в аккаунт и для подтверждения личности жертву просят перейти по ссылке и ввести свои учетные данные.

Стоит отметить, что фишеры хорошо поработали над дизайном и соблюдением фирменного стиля письма. Найти отличия оригинала и подделки мы рекомендуем пользователям на следующем снимке. ИБ исследователи из Sophos уже отметили что помимо нескольких пунктуационных и орфографических ошибок поддельное письмо целиком замаскирована под оригинал и даже содержит двухфакторную аутентификацию.

Сама же фишинговая страница представляет собой идеальный клон официальной страницы Instagram для входа. Из необычного стоит отметить, что мошенники произвели установку действующего SSL-сертификата — в результате жертвы видят протокол HTTPS и зелёный замок, что обычно вызывает доверие у пользователей. Сам же домен находится в доменной зоне CF, которая не так чтобы похожа на оригинальный .COM, но позволяет не обратить на это внимание рядового пользователя.