Pas op voor nieuwe Instagram-phishingcampagne

Bij het instellen van tweetrapsauthenticatie (2FA) vraagt Instagram gebruikers om zogeheten back-upcodes op te slaan. Met die codes behouden gebruikers toegang tot hun account als ze ineens de toegang tot hun 2FA-sleutels verliezen. Dat maakt het ook een gevaarlijke tool. Als criminelen ze in handen krijgen, kunnen ze samen met een gelekt wachtwoord alsnog je account overnemen en jou buitensluiten. Criminelen proberen dan ook steeds vaker zulke codes te bemachtigen. Dat meldt beveiligingsonderzoeker Trustwave.
Eerder bedacht het bedrijf nog de term “Insta-Phish-A-Gram” voor de wijze waarop kwaadwillenden telefoonnummers van Instagram-gebruikers bemachtigden. Ditmaal is dus niet het telefoonnummer doelwit, maar zijn de back-upcodes voor Instagram gewild. Hiervoor gebruiken ze de oude bekende phishingmethode: e-mails met claims over auteursrechtovertredingen. Gebruikers worden verzocht in te loggen om in beroep te gaan tegen die claim. Ze zouden daarmee voorkomen dat hun account na 24 uur definitief verwijderd wordt.
Niets is minder waar, uiteraard: het gaat immers niet om een e-mail van Meta of Instagram. Vanuit de mail worden gebruikers naar phishingpagina’s gestuurd. Aldaar moeten ze inloggen met hun gebruikersnaam, wachtwoord én een back-up-code.
Trap niet in de phishing
Voor de phishingaanvallen wordt gebruikgemaakt van domeinen zoals ‘help-copyrightservice.com’. Het zijn steevast domeinen die overduidelijk niet in het bezit zijn van Instagram of Meta. Officiële Meta-websites zijn te herkennen aan domeinnamen als ‘meta.com’, ‘instagram.com’, ‘facebook.com’ en nu ook ‘threads.net’. Staat er een andere domeinnaam in de adresbalk? Vul dan zeker niet je gegevens in.
Het is sowieso af te raden gegevens in te vullen op webpagina’s die doorlinken vanuit e-mails. In het geval dat je zo’n claim per e-mail ontvangt, log je best in op je Meta-accountcentrum om te kijken of er werkelijk een claim geregistreerd staat. Zo ja, dan kan je dat vanuit daar verder afhandelen.











