Allarme Instagram, l’Agenzia cybersicurezza: “In corso una campagna per rubare account”

• di F. Q.
• 17 Novembre 2022

È in corso una “campagna malevola” per rubare account Instagram “attraverso tecniche di Social Engineering”. L’ha rilevata l’Agenzia per la cybersicurezza nazionale attraverso il Csirt, il team di risposta in caso di incidenti. La tecnica usata è simile a quella osservata in un precedente alert su furti d’identità di Whatsapp, in cui l’hacker cercava di carpire il codice di verifica a 6 cifre per registrare su un proprio dispositivo l’account della vittima.

In questo caso l’hacker utilizza la funzionalità lecita di reset delle credenziali Instagram che prevede l’invio di un link “usa e getta” per accedere al proprio account social. L’attaccante, dopo aver generato una richiesta di reset credenziali, contatta la vittima, utilizzando la chat Instagram di un account precedentemente compromesso, per indurla, utilizzando un italiano poco corretto, a farsi inviare il link necessario ad accedere al proprio profilo Instagram da un nuovo dispositivo.

Come contromisure, l’Agenzia per la cybersicurezza, suggerisce di non inviare ad utenti terzi codici ricevuti sui propri dispositivi. Nel caso in cui qualcuno si impossessi dell’account, è necessario avvertire subito i propri contatti tramite altri canali, per ridurre l’impatto della truffa e attivare una delle procedure previste per gli “Account violati” predisposte da Instagram in modo di riappropriarsi del profilo. L’Agenzia suggerisce inoltre di attivare autenticazione a due fattori che richiederà una verifica aggiuntiva ogni volta che si farà accesso al proprio account da un dispositivo non riconosciuto.