2min

Tags in dit artikel

, , ,

Een nieuwe phishing-methode omzeilt de tweestapsverificatie van Instagram-accounts. Door een misleidend e-mailbericht en aanmeldpagina kunnen gebruikers onbedoeld hun credentials en een tijdelijke zescijferige back-up-code prijsgeven.

De bevindingen komen vanuit Trustwave, die al eerder een methode omschreven om Instagram-accounts over te nemen. Met “Insta-Phish-A-Gram” bemachtigden oplichters in 2022 de telefoonnummers van hun slachtoffers, maar nu zijn ook back-up-codes niet veilig.

Oude tactieken, niet minder gevaarlijk

De opzet van de phishing-methode is relatief eenvoudig. Allereerst versturen de aanvallers een e-mail die pretendeert van Instagram-moederbedrijf Meta af te komen. Daarin krijgt een gebruiker te horen dat hun account auteursrechten zou hebben overtreden. Om accountverlies te voorkomen, dient men binnen 12 uur in te loggen via een specifieke link. Die stuurt nietsvermoedende gebruikers naar een realistisch ogende namaakversie van een Meta-website.

Een screenshot van een pagina die de pagina van het afsprakencentrum toont.
Links de website waar gebruikers vanuit de e-mail terechtkomen, rechts het nagemaakte “Appeal Center” waarin de gegevens ontfutseld worden (Bron: Trustwave)

Na een redirect belandt een gebruiker op de daadwerkelijke phishing-pagina. Hier vraagt de website om de gebruikersnaam en (tweemaal) om het wachtwoord. Ook dient men aan te geven of tweestapsverificatie aangezet is. Daarna kan een back-up-code aangevraagd worden, die nodig is om vanuit een onbekend apparaat in te loggen. Het eindresultaat is dat de oplichters alle informatie bemachtigd hebben om op het account van het slachtoffer in te loggen.

Geen geavanceerde technieken

Vorig jaar lichtte Patrick McBride, Chief Marketing Officer bij Beyond Identity, al op onze site uit hoe 2FA omzeild kan worden. Deze variant van Instagram-phishing maakt duidelijk gebruik van de eerste van de vijf die McBride noemt. Het opzetten van een valse aanmeldpagina leidde ook tot het stelen van credentials op Gmail, Yahoo en ProtonMail, zoals McBride aangaf.

Het is niet de meest geavanceerde techniek om gebruikers op te lichten. Toch is er zelfs met een kleine slagingskans de potentie om talloze accounts te kapen. Instagram zou namelijk een gebruikersbestand van 2,4 miljard hebben, waardoor er altijd wel iemand zal zijn die in de misleiding trapt.

Meer geavanceerde technieken zagen we onlangs bij het zogeheten “SMTP smuggling”. Daarmee kunnen aanvallers laten lijken dat hun phishing-mails afkomstig zijn van legitieme adressen.

Lees ook: Het stokoude SMTP blijft nieuwe phishing-technieken opleveren