Emerge su Instagram una campagna di phishing mirata a truffare gli utenti tramite l'offerta del noto badge con la spunta blu, ovvero quel simbolo che contraddistingue gli account verificati, appartenenti, ad esempio, a personaggi pubblici, celebrità o marchi.
La campagna prevede tecniche di spear-phishing via e-mail: viene inviato un avviso secondo cui Instagram avrebbe esaminato l'account dell'utente, ritenendolo idoneo alla spunta blu.
Quello che viene richiesto all'utente è fare clic su un pulsante incorporato nell'e-mail per accedere al modulo di domanda, da compilare per inviare la richiesta. Gli utenti che cadono nella trappola vengono poi spinti a procedere con un avviso di scadenza del modulo entro 48 ore.
Il modulo stesso è composto da tre passaggi, e presenta logo ed elementi grafici che potrebbero indurre in inganno gli utenti meno attenti.
Nel primo passaggio, la vittima deve inserire il nome utente, nel secondo, invece, nome reale, indirizzo e-mail e numero di telefono, mentre nel terzo viene richiesta la password, come prova della titolarità dell'account.
Non appena la procedura viene completata, l'utente riceve una conferma di verifica con la promessa di un successivo ricontatto da parte di Instagram. Infine, alla vittima viene inviato un ID falso relativo alla richiesta.
Sfruttando la distrazione, la scarsa attenzione ai particolari e la possibile propensione da parte dell'utente a ricevere la spunta blu, questa campagna avrebbe colpito migliaia di utenti.
Come sempre, l'invito è alla cautela: occorre sempre verificare gli URL, la qualità del testo e la presenza di possibili errori di ortografia/grammatica, spesso elementi caratteristici nei tentativi di phishing. Inoltre, l'inserimento di una password in un modulo di richiesta è già di suo un campanello d'allarme.
Detto questo, è sempre consigliabile utilizzare l'autenticazione a due fattori ovunque possibile e Instagram offre già da tempo questa opzione.