можно ли обойти двухфакторную аутентификацию в инстаграм
Двухфакторная аутентификация убьёт твой Insta-профиль? 2FAgate
Двухфакторка, двухфакторная аутентификация — инструмент, который должен защитить аккаунт от взлома и обезопасить учётную запись в Instagram (да и в любом другом сервисе) неожиданно стал огромной проблемой для тысяч пользователей, которые потеряли свои аккаунты.
Главную проблему тут выделить сложно. Пострадавшие пишут, что главная проблема в технической поддержке Instagram, точнее в её отсутствии. Другие говорят про технический сбой. Но и вина самих пользователей (частичная) тоже имеет место быть.
Разберёмся с проблемой.
Есть такое приложение Google Authenticator. Его можно использовать для двухфакторного входа в свой Insta-профиль. Для тех, кто не сталкивался, работает это так:
В этом и кроется главное преимущество такого способа защиты. Даже если у тебя угнали пароль, войти в профиль никто не сможет без твоего смартфона и без временных кодов. Но работает и обратная ситуация.
На Reddit есть куча тем, собравших сотни комментариев с обсуждением проблемы 2FA, когда люди теряют аккаунты. Есть огромные инструкции, как восстановить профиль в данном случае, например вот и вот. Только в последнее время эти инструкции работать перестали.
Стоп. Как можно потерять свой Instagram-профиль из-за 2FA?
Мне писали по этой проблеме и я тоже не понимал. А сценариев 3:
Взлом аккаунта с целью мошенничества или выкупа
Большая часть пострадавших в русскоязычном комьюнити проблемы (да, такое есть, собираются тут) была просто взломана.
Взломать сам Instagram-аккаунт невозможно (ну или крайне трудно), поэтому взламывают почту, на которую привязан аккаунт. Почти все, с кем я пообщался, имели почту на mail.ru. Хотят слухи и легенды, среди тех, кого взломали, что это самая незащищённая почта. Я в это не сильно верю, но факт есть факт.
Instagram-аккаунты взламывают и уводят через почту, к которой они привязаны!
После этого мошенники ставят 2FA на профиль и всё. Он потерян.
Ты пишешь в техническую поддержку, тебе восстанавливают аккаунт, но войти в него ты не можешь, потому что профиль требует временный код. А его нет. Поддержка будет упорно говорить, что двухфакторка отключена, но код система требует всё равно. И войти в аккаунт невозможно.
Обычно после этого мошенники выкладывают в профиль мольбы о сборе денег. Кто-то болеет, пострадал, требуется срочное лечение. Тебе явно встречались такие посты:
Иногда доходит до обсуждения выкупа аккаунта, но как правило, это такой же развод.
Но есть и другие сценарии, где «вина пользователя» чуть выше.
Утерян телефон, приложение, потерян доступ к приложению Google Authenticator
Google Authenticator классная штука, которая имеет несколько вариантов восстановления: резервные коды, QR-код, электронный ключ и даже резервный номер телефона. Но классика жанра заключается в том, что резервными копиями и способами восстановления люди начинают интересоваться тогда, когда уже поздно.
Поэтому если ты используешь Google Authenticator, возьми и сделай скриншот QR-кода для восстановления ПРЯМО СЕЙЧАС. А лучше распечатай и положи в документы, между свидетельством о рождении и аттестатом. Поверь, когда-нибудь он пригодится.
Закончу с лирикой. Происходит следующее. У юзера всё в жизни ок, он использует двухфакторку, аккаунты надёжно защищены.
Но тут он разбивает телефон и тот умирает. Или теряет его. Или покупает новый, но не переносит приложение со старого через QR-код. Либо любой другой вариант.
И теряет доступ к аккаунту! Если не озаботиться способами восстановления Google Authenticator, потеря телефона = потеря всех аккаунтов на двухфакторке! Когда я купил новый айфон, первое, что я сделал, это перенёс приложение через QR-код не выходя и не обнуляя старый айфон. Честно, в первый раз даже руки немного трясло, вдруг не получится.
В чём заключается 2FAgate?
В том, что на тебя всем плевать. Техническая поддержка в Instagram работает через 🍑. Плохо. Отвечает долго, шаблонами, не разбирается. Да, у Instagram больше миллиарда пользователей, но это не значит, что на своих же пользователей можно забить.
В комментариях и реплаях в Twitter, Instagram и Facebook тысячи людей пишут о том, что потеряли доступ к аккаунту из-за 2FA и тишина.
Думаешь надо писать в поддержку, а не в комментариях? Всё так. Но поддержка не помогает. Есть подробные гайды, как восстанавливать аккаунт:
Есть даже Telegram-бот с инструкцией. Она помогала до конца сентября, примерно. Дальше схема перестала работать и помогает единицам (никому).
Какой вывод и что делать?
Такие проблемы могут жить в Instagram годами. Есть пользователи, которые потеряли доступ к своему аккаунту ещё весной и до сих пор не могут его восстановить.
Лучший способ решения этой проблемы — предотвратить её.
Лучший блог про Instagram в социальных сетях.
Подписался на свежие статьи?
Подкаст Dnative про новости digital и SMM. Каждый день по будням!
Взломали ваш Instagram? Без паники
Сложно найти человека без Instagram. Эту социальную сеть используют как фотоальбом, личный блог или инструмент ведения бизнеса. Но многие забывают о мерах безопасности, поэтому страницы пользователей часто взламывают. Разбираемся, как восстановить инстаграм после взлома.
Как понять, что инстаграм взломали?
Понять, что профиль взломали, просто. Сразу же позвонят друзья или родственники, чтобы спросить, что случилось. Дело в том, что угонщики уже успели разместить в профиле пост с просьбой перечислить денег якобы на лечение кого-то из близких пользователя. Доверчивые подписчики тут же переведут «кто сколько сможет» по указанным реквизитам карт. И деньги поступят на счета мошенников.
Конечно же хозяин страницы попытается остановить это бесчинство и попробует зайти в профиль, чтобы удалить фейковую информацию. Но пароль не подойдет. Попытки восстановить его тоже окажутся безуспешными, ведь хакеры нынче подкованные. Они знают, как минимизировать вероятность того, что хозяин аккаунта вновь получит его обратно.
Такой метод – самый распространенный на территории России и СНГ. Но иногда мошенники идут иными путями. Некоторые получают доступ к аккаунту, меняют пароль, привязывают профиль к другой почте и номеру телефона, а затем требуют с владельца выкуп. Если хозяин страницы отказывается от выплаты, хакер прерывает контакт с ним и пробует продать профиль.
Но это не значит, что, заплатив, хозяин получит аккаунт обратно. После получения денег хакер исчезнет, не вернув профиль, либо попросит еще денег. А потом еще. В итоге он может заблокировать жертву, профиль продать примерно по той же схеме. Потенциальный покупатель заплатит и окажется в бане. Это может продолжаться бесконечно.
Лучшее решение – попытаться восстановить профиль.
Как взламывают инстаграм?
Есть 3 основных метода взлома инстаграм:
Первый способ кажется устаревшим, однако некоторые взломщики его используют. Чаще хакеры берутся за взлом электронной почты. Часто данные для входа в почтовые ящики сливаются в сеть. Хакеры находят их и пробуют зайти. Если получается, то в дальнейшем им не составит труда получить доступ к любой соцсети. Угнать аккаунт просто: мошенник находит в ящике письма от, инстаграм, находит юзернейм профиля, пробует войти в него и под предлогом «Забыл пароль» запрашивает у социальной сети сброс пароля.
На привязанную почту присылают сообщение со ссылкой для изменения пароля, хакер быстро его меняет, а само письмо удаляет. Теперь хозяин аккаунта, зайдя в электронный ящик, не заподозрите неладного. Хакеру остается перепривязать аккаунт к другой почте, что тоже легко сделать, имея доступ к имейлу.
С фишингом все еще проще. Пользователь добровольно отдает данные для доступа к аккаунту. Мошенники присылают письмо идентичное письмам, которые приходят от инстаграм. Даже имейл отправителя удивительно похож на электронный адрес техподдержки инстаграм. В письме может быть написано что угодно. Например, информация о том, что аккаунт могут удалить в течение 24 часов. Чтобы этого избежать, предлагают перейти по ссылке и подтвердить владение профилем.
Кликнув на ссылку, пользователь оказывается на странице входа в инстаграм, точнее он думает, что страница оригинальная. На самом деле ее умело подделали хакеры. После ввода логина и пароля окно исчезнет, а введенные данные отправятся мошенникам.
Как избежать взлома инстаграм
В первую очередь, поставьте двухфакторную аутентификацию. Она бывает двух видов: аутентификация по номеру телефона и через приложение. Лучше перестраховаться и поставить обе. В первом случае при любом входе в инстаграм, система запросит шестизначный код, который направит смской на номер телефона. Во втором случае тот же шестизначный код нужно ввести из специального приложения, которое необходимо заранее установить на смартфон. Специалисты инстаграм рекомендуют использовать программы Duo Mobile или Google Authenticator.
Сохраните резервные коды безопасности. Они позволят восстановить доступ, если одноразовый шестизначный код в смс или приложении не приходит. Резервные коды формируются единожды. Они находятся в настройках в разделе «двухфакторная аутентификация». Всегда держите резервные коды при себе.
Привяжите инстаграм к безопасной почте. Наиболее защищенными электронными ящиками являются: Яндекс, Google и iCloud – их сложно взломать. К электронным адресам mail.ru легче получить доступ, поэтому не советуем их использовать. Необходимо защитить саму почту. Поставьте на нее двухфакторную аутентификацию. И не указывайте этот электронный адрес как контактный в аккаунте инстаграм.
Заведите отдельную почту и привяжите к ней только инстаграм. Это позволит отслеживать письма, которые приходят от соцсети. Они не затеряются в потоке рассылок и деловых переписок. А также это позволит избежать слива имейла в хакерские базы данных.
Будьте бдительны. Это единственное спасение от фишинга. Не кликайте по непроверенным ссылкам и не вводите данные для входа в аккаунт на сторонних сайтах. Кстати, ссылки могут приходить даже от знакомых. Были случаи, когда пользователям приходили сообщения от друзей с просьбой перейти по ссылке и проголосовать за девушку, чтобы помочь ей победить в конкурсе красоты. Люди верили, заходили на сайт и вводили там данные для входа в инстаграм, а потом их аккаунты взламывали.
Если же вы получили письмо от Инстаграм на почту, убедитесь, что оно получено именно от соцсети. Для этого откройте приложение инстаграм, зайдите в настройки, далее «Безопасность», а затем «электронные письма от Инстаграм». Если в этом разделе нет уведомления о том, что такое письмо было направлено, значит не стоит совершать с ним никаких действий.
Как восстановить инстаграм после взлома
1. Восстановить инстаграм через почту. Зайдите в эл. почту, к которой была привязана страница, и найдите письмо от техподдержки Инстаграм. Обычно оно приходит с адреса security@mail.instagram.com. В нем сообщается о перепривязке почты. Нужно отменить действие через ссылку в письме.
2. С помощью ссылки для входа в инстаграм. При входе в аккаунт нажмите на кнопку «получить помощь со входом в систему» («Забыли пароль» для iPhone). Введите имя страницы, номер телефона, электронный адрес и сделайте запрос ссылки для входа.
3. Через код безопасности. Механика похожа на предыдущий способ. Нажимаем на «получить помощь со входом» («Забыли пароль»). Укажите юзернейм, почту и номер телефона. Теперь нажмите «Нужна дополнительная помощь». В открывшемся окне выберите способ, которым вам придет код (телефон или имейл). Если код не пришел, нажмите соответствующую кнопку и следуйте дальнейшим инструкциям.
Не получилось? Тогда советуем обратиться к опытным специалистам.
Команда Antiban восстанавливает инстаграм-аккакунты после взлома и решает другие проблемы с социальными сетями. За четыре года работы команда сервиса помогла трем тысячам человек.
Чтобы найти способы восстановления, сотрудники компании проводили серьезную исследовательскую работу, изучали алгоритмы и правила соцетей. Ведь стандартные методы, которые предлагает справочный центр Фейсбук и Инстаграм, не всегда работают. А горячей линии или чата с техподдержкой у этих социальных сетей нет.
Но у пользователей есть потребность в восстановлении страниц. Antiban эту потребность удовлетворяет. За время существования компания наработала десятки кейсов, нашла контакты с технической поддержкой Facebook и продолжает изучать особенности соцсети.
Как взломать двухфакторную аутентификацию
Доброго времени суток, дорогой читатель. Сегодня мы поговорим о такой вещи, как двухфакторная аутентификация. На нашем сайте уже есть разбор, что это такое и зачем она нужна.
Большинство пользователей интернета знают о Даркнете. Многие даже пытались зайти и купить там, что-либо. Те, кто уже прошарен в этой теме знают, что в таких местах легко можно приобрести запрещенные товары или услуги, в том числе и взлом любого аккаунта. Конечно, его можно заказать и в Клирнете, но тут происходит недоверие к людям, предлагающим эти услуги. Ведь, как так, мы находимся на светлой, незащищённой стороне паутины, они не боятся ответственности? Или это очередная уловка мошенников?
Ну, речь не об этом, мы немного отвлеклись. В большинстве таких случаев Взлом производят при помощи «фишинга».
Что такое фишинг?
-Это вид интернет-мошенничества, в результате которого можно получить доступ к личным данным, таким как пароль и логин. Совершается фишинг путём распространения электронных писем, личных сообщений, якобы от популярного бренда, банка и тд. Вы переходите по ссылке на страницу, обманутые её «чистотой» и вводите свой логин и пароль. После этого владелец вашей странички или электронной почты уже, увы, не вы, а человек немного поумнее и хитрее.
Но спустя время более опытные и закалённые горьким опытом жизни юзеры начали понимать, что бренды и банки такими делами особо и не занимаются, поэтому такой способ утерял свою надежность.
Как пробить двухфакторку
Самый нашумевший и трудоёмкий способ эксперементально выявлен австралийским исследователем Шубхамом Шахом (Shubham Shah). Парню было всего 18 лет, когда он многим открыл глаза на ненадежность 2FA.
В его статье «Как я обошел двухфакторную аутентификацию в Google, Facebook, Yahoo,LinkedIn и многих других» молодой человек подмечает, что при виде аутентификации он думал: «Можно ли произвести взлом такими способами, как»:
Все они, по его словам, являются действительными вариантами атак, но навряд ли будут работать, ибо настолько простейшие и уже явно защищены.
После перебора всех этих способов Шубхам понял, что на всех сервисах с 2FA есть слабое место — голосовая почта.
Ибо для получения полного доступа к ящику нужно всего лишь узнать номер жертвы, а затем использовать сервис подделки контактного номера, типа Spoofcard.
Перейдем к последовательности действий(с твоего позволения, в роли хакмастера будешь ты):
Но различия их состоят в том, что SET копирует и помещает на определённом сервере страницу авторизации. Тут всё основано на работе скриптов, что перехватывают вводимые данные жертвы. Несомненно можно настроить перенаправление URL на оригинальный сайт, но так как трафик от твоего компьютера до человека, которого ты хочешь переиграть и уничтожить будет не конфеденциальным, то можешь легко прогореть. Ну, либо основывай свой личный фишинговый сайт.
«Особенность» Instagram
В 2020 году даже если злоумышленник попал в ваш аккаунт социальной сети, это неприятно, но не критично. Ведь у нас есть двухфакторная аутентификация на многие важные действия, а доступа к почте/телефону у злоумышленника нет и аккаунт ему не угнать. Так ведь? Нет.
Интересно? Добро пожаловать под кат!
Смена email и номера телефона
Итак, злоумышленник каким-то образом зашел в ваш Инстаграм аккаунт в приложении или в веб-версию. Возможно, он просто узнал ваш логин и пароль, или может вы забыли выйти на общественном компьютере, это уже не столь важно. Двухфакторная аутентификация же по умолчанию у всех отключена.
Может ли он что-то такое устроить, чтоб завладеть вашим аккаунтом на продолжительно время? Да, может и в этом как раз проблема.
Ночью, где-то в 3-4 утра, когда вы скорее всего спите, он удаляет привязанный номер телефона.
Нужно ли подтверждение с телефона? Нет, не нужно.
Придет ли смс на номер телефона? Нет, не придет.
Прилетит ли Push-уведомление в приложение? Нет, не прилетит.
Пара кликов и уже номер телефона не привязан, вас уведомят лишь письмом на почту, его вы увидите скорее всего лишь утром. Дальше email, меняем и его.
Нужно ли подтверждение с прошлого email? Нет, не нужно.
Прилетит ли Push-уведомление в приложение? Нет, не прилетит.
Остается лишь подтвердить новый email по ссылке, что злоумышленник сделает — email сменен. И об этом вас уведомят лишь письмом на почту, и его вы увидите скорее всего лишь утром.
В письмах на почте об изменениях в аккаунте вас будут ждать ссылки возврата “secure your account here” (https://instagram.com/accounts/disavow). Они позволяют легко восстановить старое значение email и телефон, переход по ним позволит все откатить. Это ЕДИНСТВЕННЫЙ механизм защиты от перехвата аккаунта, но он работает. А можно ли его обойти? Да, можно.
Account Takeover
Чтобы получить контроль над аккаунтом и не дать владельцу вернуть его обратно, нужно лишь не позволить ему использовать ссылки возврата. Немного обозначений:
Хакер удаляет телефон жертвы из аккаунта и меняет почту victim@example.com на evil1@anyserver.com.
Хакер подтверждает почту evil1@anyserver.com.
Хакер меняет почту evil1@anyserver.com на evil2@anyserver.com.
Хакер подтверждает почту evil2@anyserver.com.
Хакер нажимает на ссылку возврата “secure your account here” (“https://instagram.com/accounts/disavow/**) на “evil1@anyserver.com” и восстанавливает настройки аккаунта к первоначальным с Шага 1, при этом меняя и пароль.
Он сам вернул привязку к легальном мылу и телефону?! Да, и он повторит шаги 1-5 еще несколько раз, пароль ему известен. Полностью автоматизировано повторит, нет там капчи, ни одной!
При моих тестах было достаточно 3 повторений шагов, чтобы ВСЕ ссылки возврата на ВСЕХ почтах перестали работать. Их использование несколько раз за короткий промежуток времени приводит к блокировки функции возврата “secure your account here“. Злоумышленник же может автоматизировано повторять шаги, чтобы продлить блокировку. Теперь аккаунт без вмешательства тех. поддержки не вернуть, ведь ссылки даже на первоначальном email не работают, а из всех приложений жертву выкинуло после первых действий.
Решения
Решений это проблемы множество, самые важные компенсирующие меры:
Внедрить подтверждение смены email и телефона отправкой сообщения на предыдущий email/телефон.
Блокировать лишь ссылки возврата на определенных email, а не на всех.
Уведомлять об изменения в аккаунте в приложении и/или смс.
Реакция Facebook/Instagram
“В рамках использования описанной вами проблемы кто-то должен взять под контроль устройство пользователя и перевести это устройство в разблокированное и аутентифицированное состояние. Это очень высокий барьер для входа и, похоже, вряд ли произойдет обычно, что делает эту атаку скорее теоретической. Защита в этом случае заключается в том, чтобы не позволить кому-либо украсть и разблокировать ваше устройство.”
То есть, это в целом невозможно?
Править они ничего не будут, судя по всему, и тем более за это не положена никакая награда исследователю. Вот такая интересная «особенность» Инстаграма, а никак не проблема безопасности =)
Можно ли обойти двухфакторную аутентификацию в инстаграм
Угоняем Instagram в 2020 не используя email и телефон жертвы
В 2020 году даже если злоумышленник попал в ваш аккаунт социальной сети, это неприятно, но не критично. Ведь у нас есть двухфакторная аутентификация на многие важные действия, а доступа к почте/телефону у злоумышленника нет и аккаунт ему не угнать. Так ведь? Нет.
В Instagram — социальной сети, которую использует 1 миллиард пользователей (⅛ населения планеты) все совсем не так. И исправлять они это отказались. В этой статье я расскажу вам о логической уязвимости, которая может позволить захватить аккаунт человека, пока он не обратится в тех. поддержку.
Интересно? Добро пожаловать под кат Угоняем Instagram!
Смена email и номера телефона
Итак, злоумышленник каким-то образом зашел в ваш Инстаграм аккаунт в приложении или в веб-версию. Возможно, он просто узнал ваш логин и пароль, или может вы забыли выйти на общественном компьютере, это уже не столь важно. Двухфакторная аутентификация же по умолчанию у всех отключена.
Может ли он что-то такое устроить, чтоб завладеть вашим аккаунтом на продолжительно время? Да, может и в этом как раз проблема.
Ночью, где-то в 3-4 утра, когда вы скорее всего спите, он удаляет привязанный номер телефона.
Пара кликов и уже номер телефона не привязан, вас уведомят лишь письмом на почту, его вы увидите скорее всего лишь утром. Дальше email, меняем и его.
Остается лишь подтвердить новый email по ссылке, что злоумышленник сделает — email сменен. И об этом вас уведомят лишь письмом на почту, и его вы увидите скорее всего лишь утром.
В письмах на почте об изменениях в аккаунте вас будут ждать ссылки возврата “secure your account here” (https://instagram.com/accounts/disavow). Они позволяют легко восстановить старое значение email и телефон, переход по ним позволит все откатить. Это ЕДИНСТВЕННЫЙ механизм защиты от перехвата аккаунта, но он работает. А можно ли его обойти? Да, можно.
Account Takeover
Чтобы получить контроль над аккаунтом и не дать владельцу вернуть его обратно, нужно лишь не позволить ему использовать ссылки возврата. Немного обозначений:
Он сам вернул привязку к легальном мылу и телефону?! Да, и он повторит шаги 1-5 еще несколько раз, пароль ему известен. Полностью автоматизировано повторит, нет там капчи, ни одной!
При моих тестах было достаточно 3 повторений шагов, чтобы ВСЕ ссылки возврата на ВСЕХ почтах перестали работать. Их использование несколько раз за короткий промежуток времени приводит к блокировки функции возврата “secure your account here“. Злоумышленник же может автоматизировано повторять шаги, чтобы продлить блокировку. Теперь аккаунт без вмешательства тех. поддержки не вернуть, ведь ссылки даже на первоначальном email не работают, а из всех приложений жертву выкинуло после первых действий.
Решения
Решений это проблемы множество, самые важные компенсирующие меры:
Реакция Facebook/Instagram на Угоняем Instagram
В рамках использования описанной вами проблемы кто-то должен взять под контроль устройство пользователя и перевести это устройство в разблокированное и аутентифицированное состояние. Это очень высокий барьер для входа и, похоже, вряд ли произойдет обычно, что делает эту атаку скорее теоретической. Защита в этом случае заключается в том, чтобы не позволить кому-либо украсть и разблокировать ваше устройство.”
Править они ничего не будут, судя по всему, и тем более за это не положена никакая награда исследователю. Вот такая интересная «особенность» Инстаграма, а никак не проблема безопасности =)