Sucuriは8月9日(米国時間)、「Fake Instagram Verification & Twitter Badge Phishing|Sucuri Blog」において、SNSの認証バッチを悪用したフィッシング詐欺からアカウントを保護する方法を伝えた。InstagramやTwitterなどのSNSプラットフォームでは信頼や真実の指標として認証バッジを利用している。これらの認証バッチがソーシャルネットワークを標的としたキャンペーンに使われていると報告されている。

Fake Instagram Verification & Twitter Badge Phishing|Sucuri Blog

認証済みプロフィールを取得したいという願望を持つ無防備なInstagramユーザーをターゲットにしたキャンペーンやTwitterの認証済みアカウントを狙ったパスワードフィッシング攻撃が展開されている。Sucuriはこうしたキャンペーンにだまされないよう、すべてのアカウントでソーシャルエンジニアリング攻撃に対する警戒を怠らないよう注意を呼び掛けている。

また、SNSアカウントのフィッシング詐欺や不正使用などを避けるための明確なガイドラインとして、以下が紹介されている。

不審なURLは必ずチェックする:リンクをクリックするときは慎重に行い、安全であることを確認してから行動を起こす

ダイレクトメッセージに注意する:InstagramやTwitterなどのソーシャルメディアサービスは、ダイレクトメッセージでログイン情報を要求することはない

個人情報を送信しない:未承諾のユーザーに対して個人情報を公開したり、自撮り写真を提供したり、身分を証明する写真をアップロードしたりしない

緊急の依頼は無視する:攻撃者はしばしば、緊急の行動要請や脅威をキャンペーンに用いる

添付ファイルやダウンロードを避ける:信頼できないソースからの添付ファイルを開いたり、ファイルをダウンロードしたりしない

友人も危険にさらされる可能性があることを心に留めておく:URLの表示や情報要求があった場合、友人や知人が送信したからといって、それが安全だと思い込まない

Sucuriは安全なSNS生活を送るために、クリックするリンクを常に確認し、正規のWebサイトでのみ個人情報を送信していることを確認するよう助言している。疑問がある場合はサポートに連絡するよう推奨しており、二要素認証(2FA: Two-Factor Authentication)はパスワードの変更要求を防ぐことはできないが、悪意のある人物によるアカウントへのアクセスを防げるとしている。