logo Sophos

Phishingový útok Nasty List může ohrozit účet na Instagramu

Začátkem dubna 2019 začali uživatelé Instagramu dostávat neobvyklé zprávy od svých domnělých sledujících, kteří s údivem upozorňovali na to, že se jejich účty ocitly na nějakém prapodivném seznamu označovaném jako Nasty List.

Zpráva s vloženým odkazem obvykle obsahuje sdělení typu "Pane bože, opravdu jsi tam, na seznamu @TheNastyList_xy, dokonce na 26. místě!", přičemž název samotného seznamu a pozice vlastníka účtu v něm se u jednotlivých příjemců mohou lišit.

Sociální média jsou založená mj. na rychlém klikání, takže i když zpráva vyvolá pochybnosti, někteří příjemci na ni kliknou a nepřemýšlí nad riziky. Podle popisu na Bleeping Computer se kliknutím na odkaz vložený ve zprávě zobrazí stránka, která obsahuje text informující o tom, že na dalším odkazu si uživatel může prohlédnout kohokoli na seznamu.

Není přitom těžké si domyslet, co v takovém případě následuje. Kdo neodolá a pokusí se seznam zobrazit, je nejprve vyzván k zadání jména a hesla k instagramovému účtu - odkaz sice neobsahuje pravou adresu na přihlašovací stránku, ale moc adresátů bombastické zprávy si toho asi nevšimne.

Při zadání svých přihlašovacích údajů dostane uživatel do problémů nejen sám sebe, ale částečně také všechny své stoupence, kteří obdrží tu samou zprávu informující o tom, že i oni jsou na seznamu, a phishingový útok The Nasty List se může vesele šířit dál.

Samotné šíření přitom není jediným problémem - útočníci díky získání přístupových údajů mohou převzít i kontrolu nad účtem oběti a využívat jej ke svým nekalým aktivitám.

Obavy jsou tedy namístě a nejistotu uživatelů dokazuje i příspěvek v jedné z prvních diskusí o tomto phishingovém útoku na sociální síti Reddit: "Jen co jsem na odkaz kliknul, uvědomil jsem si, že jde o hack. Ale den poté mi zpráva opět přišla. Změnil jsem si heslo a zapnul dvoufázové ověřování. Znamená to, že bot má stále přístup k mému účtu?"

"Je snadné říct ne, nemusíte se obávat. Ale co když je opak pravdou? Jedna z nejdůležitějších věcí je, zda jste na podvodné stránce své přihlašovací údaje zadali - pokud ne, můžete být z pohledu útoku Nasty List relativně klidní. Pokud jste neodolali a své přihlašovací údaje vložili, ale spoléháte se současně na dvoufázové ověřování pomocí SMS zpráv nebo autentizační aplikace, mělo by být také vše v pořádku. Tento způsob ověřování je totiž pro počítačové zločince značnou komplikací a obtížnější pro překonání," radí Patrick Müller ze společnosti Sophos.

Nastavení dvoufázového ověřování lze na Instagramu nastavit velmi jednoduše. Přejděte na kartu svého profilu, zvolte postupně Upravit profil, Soukromí a zabezpečení a Upravit nastavení dvoufázového ověřování.

Následně se rozhodněte pro formu druhého kroku ověření (SMS zpráva, autentizační aplikace) a pokračujte dále dle instrukcí.

Existuje-li ovšem sebemenší riziko, že došlo ke kompromitaci vašeho účtu, měli byste co nejdříve změnit své heslo a dvoufázové ověřování zapnout. Důkladně si přitom zkontrolujte, že útočníci mezitím nezměnili e-mailovou adresu ani telefonní číslo spojené s vaším účtem.

Důležité také je, zda jste používali stejné heslo pro účet na Instagramu také v dalších online službách. V takovém případě byste heslo měli okamžitě změnit i tam.

A použijte v případě změny dostatečně silná hesla a pro každý účet jiná. Velmi dobře vám s tím pomohou například správci hesel.

Článek Sophos ze dne úterý 7. května 2019

Další články od Sophos

Sophos Rapid Response - proaktivní služby pro kybernetické zabezpečení

Patrick Müller získal ocenění Top Performer of the Year

Pracovní stanice a servery lékáren pod ochranou řešení Sophos

Nová generace kybernetického zabezpečení cloudu

Comtec rozšiřuje síť Sophos MSP partnerů

Vyděračské techniky ransomwaru ve studii SophosLabs

Jak moc se vyplatí zaplatit výkupné po ransomware útoku

Jak na účinnou ochranu před ransomware

Ransomware RobbinHood deaktivuje bezpečnostní software a pak se spustí

I malá nedopatření v cloudu povedou k ohrožení velkých podniků - ransomware v roce 2020 přitvrdí

Nové bezpečnostní funkce pro zařízení s OS Chrome, Android a iOS v aplikaci Intercept X for Mobile

MDR služby Rook Security v technologickém portfoliu Sophos

EDR technologie chrání před kombinovanými kyberútoky

Phishingový útok Nasty List může ohrozit účet na Instagramu

Firewall Sophos XG je nyní dostupný prostřednictvím konzole Sophos Central

Nepříjemná fakta o bezpečnosti koncových bodů

Umělá inteligence se podílí na zlepšení ochrany domácích uživatelů

VÍTKOVICE IT SOLUTIONS - nový Gold Partner Sophos

Zavedení EDR technologie do Intercept X Advanced posiluje ochranu koncových bodů

Nová generace serverové ochrany Sophos Intercept X

Umělá inteligence posiluje řešení ochrany e-mailových účtů Sophos Email

Twitter přiznal narušení bezpečnosti - ukládal kopie nešifrovaných hesel uživatelů

Neidentifikovaný síťový provoz ohrožuje podniková data

Efektivní správa a zabezpečení koncových bodů

Bot jako efektivní nástroj k šíření propagandy

Opakované útoky ransomware jsou celosvětovou hrozbou

Detekce malware s využitím neuronové sítě a technologií hlubokého učení

WPA3 pro lepší ochranu bezdrátových WiFi sítí

Jaká je bezpečnost chytrých domácích zařízení ve světě internetu věcí?

Tipy pro bezpečné vánoční nákupy na internetu

Jak na bezpečnou chytrou domácnost

Firewall Sophos XG - první řešení pro řízení síťových aplikací

Partneři Sophosu se mohou stát poskytovateli cloudové bezpečnosti

Nové firewally Sophos XG a SG

Ransomware zaměstnává experty na počítačovou bezpečnost prakticky každý den

Technologie CryptoGuard - nová generace serverové ochrany proti ransomware

Sophos Mobile 7 pro správu podnikové mobility

GDPR - Obecné nařízení o ochraně osobních údajů

Obavy z kyberzločinu jsou větší než z kriminality v reálném světě

10 zásad pro bezpečné online vánoční nákupy

Nová generace ochrany koncových bodů proti exploitům i ransomwaru

Sophos Email zvyšuje ochranu cloudových řešení elektronické pošty

Sophos Intercept představuje novou generaci ochrany koncových bodů

Sophos Clean - uživatelem spouštěný skener na vyhledání malware

Sandboxing korporátní úrovně za skvělou cenu

Sophos Sandstorm - nová bezpečnostní technologie sandboxingu

Sophos Mobile Control pro správu podnikové mobility s ochranou dat

Šifrovat firemní komunikaci - ano či ne?

Technologie SurfRight zvyšuje efektivitu bezpečnostní strategie Sophos

Bezpečnostní mechanismus Heartbeat