Bleeping Computer 網站消息，一種新型網絡釣魚活動偽裝成 "版權侵權 "電子郵件，試圖竊取 Instagram 用戶的備份代碼，以幫助威脅攻擊者繞過賬戶上配置的雙因素身份驗證（2FA）。

雙因素身份驗證是一種安全防護功能，要求用戶在登錄賬戶時輸入一種額外的驗證形式，這種驗證形式通常是通過短信發送一次性密碼、驗證應用程序的代碼或硬件安全密鑰。鑒于威脅攻擊者需要訪問用戶的移動設備或電子郵件才能登錄受保護的賬戶，一旦用戶登錄憑據被盜，便可以使用 2FA 幫助保護賬戶安全。

在 Instagram 上配置雙因素身份驗證時，網站會提供八位數的備份代碼，如果無法使用 2FA 驗證賬戶，用戶就可以使用這些代碼重新訪問賬戶。（用戶一般在更換手機號碼、丟失手機或無法訪問電子郵件帳戶才會使用該功能）

不過，備份代碼同樣有一定的安全風險，如果威脅攻擊者能竊取這些代碼，只需知道受害目標的憑據，就能使用未識別的設備劫持 Instagram 賬戶，而且這些憑據通常可以通過網絡釣魚竊取，也可以在不相關的數據泄露中出現。

"版權侵權 "電子釣魚郵件聲稱收件人發布了違反知識產權保護法的內容，因此其賬戶受到限制，敦促收件人點擊某個按鈕對該決定提出上訴，從而將受害者重定向到釣魚網頁，在那里輸入賬戶憑據和其他詳細信息，這樣的”套路“已被威脅攻擊者多次使用。

新的 Instagram 網絡釣魚活動

Trustwave 安全分析師發現了"版權侵權 "電子釣魚郵件攻擊的最新變種，并表示由于 2FA 保護的采用率越來越高，促使網絡釣魚攻擊者開始不斷擴大目標范圍，最新發現的釣魚電子郵件假冒了 Instagram 的母公司 Met。在釣魚郵件中，威脅攻擊者向 Instagram 用戶發送版權侵權投訴通知，并提示用戶填寫申訴表以解決問題。

釣魚電子郵件（Trustwave）

此外，威脅攻擊者還會要求受害者點擊郵件中的某個按鈕，一旦按照指示操作，受害目標會被”定向“到一個冒充 Meta 實際侵權門戶的釣魚網站，受害者會在該網站上點擊標有 "轉到確認表（確認我的賬戶）"的第二個按鈕。

第二個按鈕會重定向到另一個仿冒 Meta "上訴中心 "門戶網站的網絡釣魚頁面，受害者需要在該頁面輸入用戶名和密碼（兩次）。在成功竊取這些用戶的詳細信息后，釣魚網站會詢問目標用戶其賬戶是否受 2FA 保護，并在確認后要求輸入 8 位數的備份代碼。

仿冒帳戶的備份代碼（Trustwave）

值得注意的是，盡管"版權侵權 "電子釣魚郵件呈現出了很明顯的欺詐跡象，例如發件人地址、重定向頁面和網絡釣魚頁面 URL，但其令人信服的設計和”緊迫感“仍會誘使相當一部分目標泄露賬戶登錄憑證和備份代碼。

最后，網絡安全專家強調，Instagram 用戶應該像對待密碼一樣重視備份代碼，做好保密工作，除非有必要訪問賬戶，否則不要在任何地方輸入。不僅如此，如果用戶仍然可以訪問 2FA 代碼/密鑰的話，那么除了在 Instagram 網站或應用程序內輸入備份代碼外，沒有任何理由在其他地方輸入備份代碼。

參考文章：https://www.bleepingcomputer.com/news/security/new-phishing-attack-steals-your-instagram-backup-codes-to-bypass-2fa/