新型网络钓鱼攻击可绕过 Instagram 2FA 验证

Bleeping Computer 网站消息，一种新型网络钓鱼活动伪装成 "版权侵权 "电子邮件，试图窃取 Instagram 用户的备份代码，以帮助威胁攻击者绕过账户上配置的双因素身份验证（2FA）。

双因素身份验证是一种安全防护功能，要求用户在登录账户时输入一种额外的验证形式，这种验证形式通常是通过短信发送一次性密码、验证应用程序的代码或硬件安全密钥。鉴于威胁攻击者需要访问用户的移动设备或电子邮件才能登录受保护的账户，一旦用户登录凭据被盗，便可以使用 2FA 帮助保护账户安全。

在 Instagram 上配置双因素身份验证时，网站会提供八位数的备份代码，如果无法使用 2FA 验证账户，用户就可以使用这些代码重新访问账户。（用户一般在更换手机号码、丢失手机或无法访问电子邮件帐户才会使用该功能）

不过，备份代码同样有一定的安全风险，如果威胁攻击者能窃取这些代码，只需知道受害目标的凭据，就能使用未识别的设备劫持 Instagram 账户，而且这些凭据通常可以通过网络钓鱼窃取，也可以在不相关的数据泄露中出现。

"版权侵权 "电子钓鱼邮件声称收件人发布了违反知识产权保护法的内容，因此其账户受到限制，敦促收件人点击某个按钮对该决定提出上诉，从而将受害者重定向到钓鱼网页，在那里输入账户凭据和其他详细信息，这样的”套路“已被威胁攻击者多次使用。

新的 Instagram 网络钓鱼活动

Trustwave 安全分析师发现了"版权侵权 "电子钓鱼邮件攻击的最新变种，并表示由于 2FA 保护的采用率越来越高，促使网络钓鱼攻击者开始不断扩大目标范围，最新发现的钓鱼电子邮件假冒了 Instagram 的母公司 Met。在钓鱼邮件中，威胁攻击者向 Instagram 用户发送版权侵权投诉通知，并提示用户填写申诉表以解决问题。

钓鱼电子邮件（Trustwave）

此外，威胁攻击者还会要求受害者点击邮件中的某个按钮，一旦按照指示操作，受害目标会被”定向“到一个冒充 Meta 实际侵权门户的钓鱼网站，受害者会在该网站上点击标有 "转到确认表（确认我的账户）"的第二个按钮。

第二个按钮会重定向到另一个仿冒 Meta "上诉中心 "门户网站的网络钓鱼页面，受害者需要在该页面输入用户名和密码（两次）。在成功窃取这些用户的详细信息后，钓鱼网站会询问目标用户其账户是否受 2FA 保护，并在确认后要求输入 8 位数的备份代码。

仿冒帐户的备份代码（Trustwave）

值得注意的是，尽管"版权侵权 "电子钓鱼邮件呈现出了很明显的欺诈迹象，例如发件人地址、重定向页面和网络钓鱼页面 URL，但其令人信服的设计和”紧迫感“仍会诱使相当一部分目标泄露账户登录凭证和备份代码。

最后，网络安全专家强调，Instagram 用户应该像对待密码一样重视备份代码，做好保密工作，除非有必要访问账户，否则不要在任何地方输入。不仅如此，如果用户仍然可以访问 2FA 代码/密钥的话，那么除了在 Instagram 网站或应用程序内输入备份代码外，没有任何理由在其他地方输入备份代码。

参考文章：

https://www.bleepingcomputer.com/news/security/new-phishing-attack-steals-your-instagram-backup-codes-to-bypass-2fa/