Há um campanha de phishing que tenta roubar contas do Instagram através do código de backup para ultrapassar a segurança 2FA.
Hoje em dia torna-se indispensável utilizar autenticação 2FA sempre que possível, para não se estar dependente de uma simples password, mas não é por isso que os atacantes desistem de tentar roubar contas - pelo contrário, apenas faz com que se adaptem às novas adversidasdes.
Este é um desses exemplos, com uma campanha de phishing que envia emails que se tentam fazer passar por avisos de violação de direitos de autor enviados pela Meta, mas que na realidade direccionam a potencial vítima para páginas onde tentam obter o máximo possível de informação dos utilizadores, incluindo as credenciais de login e também o código de backup que lhes permita ultrapassar a autenticação 2FA.
A autenticação 2FA faz com que além da password tradicional seja necessário introduzir-se um elemento adicional de segurança, como um código temporário gerado numa app de autenticação ou, apesar de não ser recomendado, recebido através de SMS no seu número de telefone. No entanto, quando se activa esse método, é normalmente dado ao utilizador um código de backup que pode usar para aceder à sua conta, para a eventualidade de perder o smartphone, ou este ser roubado, ou ficar avariado.
Ora, escusado será dizer que esse código se torna agora no alvo mais procurado pelos atacantes, pois permite-lhes, da mesma forma, ultrapassar a protecção 2FA da vítima e obter o controlo total da sua conta. Se nunca se deve utilizar login e password sem ser no site oficial com ligação segura verificad, muito menos se deve arriscar usar este código de backup em qualquer lugar que não dê garantia absoluta de ser o site legítimo.
De qualquer forma, hoje em dia começa a ser mais recomendável utilizar Passkeys sempre que possível (embora a maioria dos serviços continue a manter acesso tradicional via password e/ou 2FA, e também com código de backup), mesmo sabendo-se que os atacantes irão sempre apontar ao elo mais fraco para tentar obter o controlo das contas das suas vítimas.
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário (problemas a comentar?)