新型网络钓鱼攻击甚至能绕过 Instagram 2FA 验证！

根据 Bleeping Computer 网站的报道，近期出现了一种新型网络钓鱼活动，这些网络钓鱼邮件伪装成 "版权侵权 " 的邮件，旨在获取 Instagram 用户的备份代码。攻击者使用这些备份代码来帮助他们绕过用户账户上配置的双因素身份验证（2FA）保护，构成了潜在的威胁。

双因素身份验证（2FA）是一种重要的安全防护措施，它要求用户在登录其账户时提供额外的验证，通常是通过短信发送的一次性密码、验证应用程序生成的代码或硬件安全密钥。这种额外的验证层级提高了账户的安全性，因为威胁攻击者需要不仅窃取用户的登录凭据，还需要获取用户的移动设备或电子邮件来成功登录受保护的账户。这使得用户的账户更加安全，即使登录凭据被泄露，仍然需要额外的验证步骤才能进入账户。

在 Instagram 上启用双因素身份验证时，通常会提供一个八位数的备份代码。这些备份代码在一些情况下非常重要，例如当用户更换手机号码、手机丢失或无法访问其电子邮件帐户时，这些代码可以用来重新访问其账户。备份代码充当了一种紧急凭据，允许用户绕过双因素身份验证并重新获取对其账户的访问权限。

然而，备份代码也存在一定的安全风险。如果威胁攻击者能够窃取这些代码，他们只需要获取受害者的登录凭据，然后使用这些备份代码，即使在不知情的情况下，也能够劫持 Instagram 账户。这种情况下，备份代码可能会成为网络钓鱼的目标，威胁攻击者可以通过欺骗用户来窃取这些代码。这种网络钓鱼活动通常以一封电子邮件声称收件人已发布侵犯知识产权的内容为开始，随后它宣称受害者的账户已受到限制，并鼓励他们点击一个链接以提出上诉。当受害者点击链接时，他们会被重定向到一个虚假的网页，在那里被要求输入账户凭据和其他详细信息。这种诡计威胁攻击者已多次使用，因此用户应格外小心。

新的 Instagram 网络钓鱼活动

Trustwave 安全分析师发现了"版权侵权 "电子钓鱼邮件攻击的最新变种，并表示由于 2FA 保护的采用率越来越高，促使网络钓鱼攻击者开始不断扩大目标范围，最新发现的钓鱼电子邮件假冒了 Instagram 的母公司 Met。在钓鱼邮件中，威胁攻击者向 Instagram 用户发送版权侵权投诉通知，并提示用户填写申诉表以解决问题。

钓鱼电子邮件（Trustwave）

此外，威胁攻击者还会要求受害者点击邮件中的某个按钮，一旦按照指示操作，受害目标会被”定向“到一个冒充 Meta 实际侵权门户的钓鱼网站，受害者会在该网站上点击标有 "转到确认表（确认我的账户）"的第二个按钮。

第二个按钮会重定向到另一个仿冒 Meta "上诉中心 "门户网站的网络钓鱼页面，受害者需要在该页面输入用户名和密码（两次）。在成功窃取这些用户的详细信息后，钓鱼网站会询问目标用户其账户是否受 2FA 保护，并在确认后要求输入 8 位数的备份代码。

仿冒帐户的备份代码（Trustwave）

值得强调的是，尽管这些 "版权侵权 "电子钓鱼邮件带有明显的欺诈特征，例如发件人地址、重定向页面和网络钓鱼页面的URL，但它们的设计和制造仍然具有一定的说服力和紧迫性，这可能会导致许多受害者泄露他们的账户登录凭据和备份代码。最后，网络安全专家强调，Instagram 用户应该像对待他们的密码一样保护备份代码，将其保密并仅在必要时使用。此外，如果用户仍然能够访问双因素身份验证代码/密钥，那么除了在Instagram官方网站或应用程序中输入备份代码外，没有任何理由在其他地方提供备份代码。维护账户的安全性对于避免成为网络钓鱼攻击的受害者至关重要。