Nowa kampania phishingowa na Instagramie

Od jakiegoś czasu rozmawiasz z nieznajomym na Instagramie. Podoba Ci się i szybko się zbliżacie. Nagle otrzymujesz od tej osoby niecodzienną wiadomość z prośbą o zagłosowanie na niego w konkursie influencerów. Lepiej tego nie rób i nie wchodź w nadesłany link. Najprawdopodobniej natrafiłeś na nowe oszustwo phishingowe na Instagramie, które ma na celu kradzież Twojego konta, danych i być może skrzynki pocztowej.

Oszustwo wysyłane przez znajomego

Instagram w ostatnim czasie zalewa fala nowych oszustw phishingowych. Zaczynają się one dość niepozornie, bo oszust zazwyczaj wysyła Ci wiadomość wyglądającą mniej więcej tak:

„Cześć, przepraszam, że przeszkadzam, aplikuję na stanowisko ambasadora programu influencerów online na pokazie mody Vanc. Czy możesz na mnie zagłosować? Dzięki🥰💐”

Komunikat ten często jest wysyłany od kogoś, kogo potencjalna ofiara obserwuje lub pisze i utrzymuje wzajemne relacje. Profil takiego oszusta wygląda wiarygodnie, z pozornie prawdziwymi zdjęciami i naturalną aktywnością na profilu. Użytkownik takiego konta mógł nawet wcześniej polubić Twoje zdjęcia. Niestety w tym przypadku mamy do czynienia z wyjątkowo niebezpiecznym oszustwem, ponieważ wykorzystuje ono mechanizm zaufania.

Fałszywa strona do głosowania, która ma na celu kradzież danych

Jeśli otrzymasz wiadomość z prośbą o zagłosowanie i postanowisz spełnić prośbę, oszust wyśle Ci link do spreparowanej strony, na której masz oddać głos. Coś w stylu vanc-vote4me[.]wuaze[.]com. Warto zauważyć, że taka witryna będzie najprawdopodobniej wyglądać bardzo autentycznie i trudno będzie ją odróżnić od prawdziwej.

Może zawierać fałszywy licznik głosów („5678 z 5688!”) mający na celu wzbudzenie poczucia pilności. A także opcję głosowania za pomocą Instagrama, Facebooka lub innego portalu. Elementy te mają osłabić Twoją czujność i podnieść autentyczność danej strony.

Jeśli klikniesz, po kliknięciu dowolnej opcji zostaniesz przeniesiony do formularza, w którym masz podać swoje dane do logowania. Jeśli to zrobisz, wszystkie dane uwierzytelniające, które wprowadzisz na tej stronie internetowej, zostaną wysyłane bezpośrednio do oszusta.

Dlaczego nowe oszustwo na Instagramie jest tak skuteczne?

Dla wielu Instagramerów i Instagramerek nowe oszustwo wyda się pewnie prymitywne i łatwe do rozszyfrowania. Rzeczywistość jest jednak bardziej skomplikowana, ponieważ oszust korzysta w nim z dwóch mechanizmów: wywierania presji czasowej oraz z zaufania, które oszust zdążył wzbudzić w ofierze. Ważne jest, aby uchronić się przed tego typu atakiem, dlatego poniżej przedstawiamy typowe elementy tego cyberataku, zidentyfikowane przez zespół Bitdefender, dzięki którym nie dasz się oszukać:

• Ofiara otrzymuje wiadomość z prośbą o wzięcie udziału w głosowaniu od znajomego.
• Fałszywa strona do głosowania nie różni się zbytnio od typowych loterii i konkursów.
• Strona zawiera mechanizmy hazardowe, loterię, elementy dźwiękowe mające wzbudzać pozytywne emocje i poczucie ostatniej szansy.
• Szybkie przejście do formularza, w którym ofiara ma podać dane osobowe.

Co się stanie, gdy oszuści otrzymają Twoje dane?

Jeśli podasz swoje prawdziwe dane logowania, grozi Ci poważne niebezpieczeństwo. Oszuści w pierwszej kolejności przejmą Twoje konto. Następnie zmienią hasło i powiązany adres e-mailowy, przez co utracisz do niego dostęp. Kolejnym etapem najprawdopodobniej będzie wykorzystanie Twojego profilu do wysyłania niebezpiecznych wiadomości lub próśb o pieniądze do Twoich znajomych. Gdy Twoi przyjaciele zaczną nabierać podejrzeń, mogą zostać zablokowani, aby nie ostrzegli innych.

Po jakimś czasie Twoja reputacja znacząco podupadnie, a lista znajomych zacznie się kurczyć. Nawet jeśli ktoś zgłosi przejęte konto i odzyskasz nad nim kontrolę, to odzyskanie zaufania obserwujących będzie niezwykle trudne.

Jak się chronić przed nowym typem oszustwa na Instagramie?

Zespół Bitdefender zawsze radzi, że najlepszą formą obrony jest zadbanie o ochronę odpowiednim antywirusem oraz samokształcenie. Poniżej przedstawimy, co należy zrobić, aby nie stracić kontroli nad swoim kontem.

• Pamiętaj, aby nigdy nie logować się w jakichkolwiek formularzach z linków z wiadomości tekstowych.
• Sprawdź, czy w domenie nie ma literówek.
• Użyj narzędzia do wykrywania internetowych oszustw. Bezpłatny chatbot AI Bitdefender Scamio pomoże Ci w sprawdzaniu autentyczności podejrzanych linków i nieoczekiwanych próśb. Wystarczy, że wkleisz podejrzane łącze lub tekst w języku angielskim i po chwili otrzymasz odpowiedź, czy jesteś bezpieczny.
• Jeśli to możliwe, korzystaj z MFA, dzięki temu nawet jeśli wyślesz oszustowi swoje dane logowania, to nie dostanie się on na Twoje konto.
• Gdy zauważysz podejrzaną aktywność swojego znajomego, to zgłoś jego konto.
• Jeśli dasz się oszukać i wyślesz oszustowi swoje dane, to natychmiast zmień hasło do swojego konta. Pamiętaj, że jeśli używasz tych samych danych logowania na wielu platformach, to powtórz to na zagrożonych kontach.
• Zadbaj o ochronę antywirusową na swoim urządzeniu. Skorzystaj z Bitdefender Total Security, który zapewni Ci ochronę na urządzeniach z systemami Windows, macOS, iOS i Android. Dzięki temu rozwiązaniu możesz ochronić się nie tylko przed złośliwym oprogramowaniem, lecz także przed następstwami phishingu. Moduł antyphishingowy zablokuje wszelkie niebezpieczne linki i fałszywe ekrany logowania.

Jak rozpoznać fałszywy ekran logowania?

Fałszywe ekrany logowania często zawierają łatwe do rozpoznania błędy. Już na pierwszy rzut oka czcionki różnią się od oryginalnej strony, czasami nie działają przyciski i opcja „Zapomniałeś hasła”, a kiedy indziej strona nie ma certyfikatu HTTPS. W niektórych przypadkach logowanie jest możliwe tylko, jeśli korzystasz z poczty Gmail. Teoretycznie łatwo podważyć autentyczność takiej strony. Problem polega na tym, że wielu użytkowników sieci nie skupia się podczas logowania i robi to w sposób automatyczny. W takiej sytuacji łatwo popełnić błąd.

Być może dziwisz się, dlaczego oszuści tworzą takie prowizoryczne i łatwe do weryfikacji formularze. Odpowiedź jest prosta, zależy im na czasie. Fałszywy ekran logowania zostanie szybko zgłoszony i usunięty. Dlatego przestępcy starają się wzbudzić w ofiarach jak największe poczucie pilności.

Jak nie dać się oszukać na Instagramie – kluczowe wnioski

Oszuści wciąż prześcigają się w wymyślaniu nowych taktyk, które mają na celu wyłudzenie naszych danych. Dlatego nigdy nie powinniśmy spoczywać na laurach i wciąż podwyższać swoje kompetencje z zakresu cyberhigieny. Pamiętaj, że kluczowymi aspektami, o które powinniśmy zadbać to zabezpieczenie swoich kont za pomocą unikalnych i skomplikowanych haseł, włączenie MFA, korzystanie ze skutecznego antywirusa oraz zachowywanie czujności.