A kétlépcsős azonosítással egy extra védelmi réteget adhatunk hozzá a felhasználói fiókjainkhoz: ezáltal nem lesz elég a jelszó a belépéshez, még egy kódot is meg kell adnunk, amit hitelesítő alkalmazásban vagy SMS-ben kaphatunk meg. Mindez a támadók dolgát is megnehezíti, ugyanis, még ha tudják is a jelszavunkat, a belépési folyamat a kódot kérő oldalon megakad. Már amennyiben nem találnak ki egy módszert, amivel még ezt is megszerzik.

Úgy tűnik, most az Instagram esetében meg is találták a rést a pajzson a rosszindulatú felek. A platform, amikor beállítjuk a kétlépcsős opciót, rendelkezésünkre bocsát néhány tartalék biztonsági kódot, melyek akkor jöhetnek jól, ha nem férünk hozzá a hitelesítő alkalmazásunkhoz, vagy valamilyen okból kifolyólag nem kapjuk meg az SMS-t. Ez áll egy új támadás középpontjában is, mert ezt nekünk kell elmentenünk későbbre, és óvatosnak kell lennünk, mikor és hol adjuk meg őket.

A Trustwave elemzői által feltárt támadásban a rosszindulatú felek a Meta nevében egy olyan e-mailt küldenek ki a felhasználóknak, melyben azt állítják, hogy megsértett valamiféle szerzői jogokat – ismerteti a Bleeping Computer.  A probléma úgy oldható meg, hogy a felhasználó rákattint a levélben lévő linkre, ami egy fellebbezési űrlap – ilyesmiről persze szó sincs.

Indul a nagy leszámolás az Instagramon

Egy sor újítással igyekszik felvenni a kesztyűt a sokasodó és egyre többeket zavarva spamelő felhasználókkal az Instagram. Rajtuk kívül mindenki jól járhat.

Valójában ugyanis egy adathalász honlapon köt ki az ember, ami a Meta arculati elemeinek felhasználásával próbál legitimnek tűnni. Itt egy újabb linkre kell kattintani, és ezután már be kell írni az instagramos felhasználónév-jelszó párost. Ezen a ponton a rosszindulatú felek már meg is szerezték az adatait, ám belépni még nem tudnak ezekkel, ha aktív a kétlépcsős hitelesítés.

Erre rá is kérdeznek, és ha a felhasználó úgy felel, van ilyen védvonala, meg kell adnia a nyolc számjegyű tartalék biztonsági kódot is – amit a kétlépcsős funkció beállításakor kellett elmenteni.

Az adathalász oldalak.

Trustwave

Bár ezt a szakértők már nem részletezik, de az adathalász oldalon bizonyára azért ezt a biztonsági kódot kérik, szemben a hitelesítő alkalmazás által generált változattal, mert utóbbi kód rövid időközönként elévül – jellemzően kevesebb mint egy perc alatt. Ez a támadók szemszögéből elég bonyodalmas lenne, hiszen azonnal meg kéne kezdeniük a belépést a felhasználó által megadott adatokkal.

Ezzel szemben, a nyolcjegyű biztonsági kódok nem járnak le, bármikor felhasználhatók (de minden kód csak egyszer, és ha a profilban újakat generál valaki, a régiek elévülnek). Az SMS-es kódküldés pedig értelemszerűen nem működik, lévén azt a Meta rendszere küldi ki, itt pedig egy támadó által létrehozott oldalról van szó.

Napok vannak hátra: nagy változás jön a Messengerbe, érinti az Instagramot is

Néhány napon belül vége az átjárhatóságnak a Meta két appja, az Instagram és a Messenger között, már ami a csevegést illeti.

A támadás elleni védekezés kifejezetten egyszerű: ne adjon meg adatokat ismeretlen oldalakon. Soha. Az főleg legyen gyanús, ha kifejezetten a nyolcjegyű biztonsági kódot kéri egy oldal. Mindig ellenőrizze is, ha valamilyen komoly problémát vet fel egy e-mail: ki a feladó? Valódi e-mail-címnek tűnik, ahonnan a levél jött? Plusz, ha mégis megnyitotta a benne foglalt linket, azt is ellenőrizze a böngésző címsávjában.

Ami pedig kiemelten fontos: mindenképp biztonságos helyre mentse el a tartalék kódjainkat, és csak a hivatalos Instagram appban, vagy az instagram.com webhelyen adja meg.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.