Zpráva s vloženým odkazem obvykle obsahuje sdělení typu „Pane bože, opravdu jsi tam, na seznamu @TheNastyList_xy, dokonce na 26. místě!“, přičemž název samotného seznamu a pozice vlastníka účtu v něm se u jednotlivých příjemců mohou lišit.
Sociální média jsou založená mj. na rychlém klikání, takže i když zpráva vyvolá pochybnosti, někteří příjemci na ni kliknou a nepřemýšlí nad riziky. Podle popisu na Bleeping Computer se kliknutím na odkaz vložený ve zprávě zobrazí stránka, která obsahuje text informující o tom, že na dalším odkazu si uživatel může prohlédnout kohokoli na seznamu.
Není přitom těžké si domyslet, co v takovém případě následuje. Kdo neodolá a pokusí se seznam zobrazit, je nejprve vyzván k zadání jména a hesla k instagramovému účtu (odkaz sice neobsahuje pravou adresu na přihlašovací stránku, ale moc adresátů bombastické zprávy si toho asi nevšimne). Při zadání svých přihlašovacích údajů dostane uživatel do problémů nejen sám sebe, ale částečně také všechny své stoupence, kteří obdrží tu samou zprávu informující o tom, že i oni jsou na „hnusném“ seznamu, a phishingový útok The Nasty List se může vesele šířit dál.
Samotné šíření přitom není jediným problémem – útočníci díky získání přístupových údajů mohou převzít i kontrolu nad účtem oběti a využívat jej ke svým nekalým aktivitám. Obavy jsou tedy namístě a nejistotu uživatelů dokazuje i příspěvek v jedné z prvních diskusí o tomto phishingovém útoku na sociální síti Reddit: „Jen co jsem na odkaz kliknul, uvědomil jsem si, že jde o hack. Ale den poté mi zpráva opět přišla. Změnil jsem si heslo a zapnul dvoufázové ověřování. Znamená to, že bot má stále přístup k mému účtu?“
Co s tím? Radí Patrick Müller ze společnosti Sophos, která se zabývá vývojem technologií pro ochranu sítí a koncových zařízení: „Je snadné říct ne, nemusíte se obávat. Ale co když je opak pravdou? Jedna z nejdůležitějších věcí je, zda jste na podvodné stránce své přihlašovací údaje zadali – pokud ne, můžete být z pohledu útoku Nasty List relativně klidní. Pokud jste neodolali a své přihlašovací údaje vložili, ale spoléháte se současně na dvoufázové ověřování pomocí SMS zpráv nebo autentizační aplikace, mělo by být také vše v pořádku. Tento způsob ověřování je totiž pro počítačové zločince značnou komplikací a obtížnější pro překonání. Nastavení dvoufázového ověřování lze na Instagramu nastavit velmi jednoduše. Přejděte na kartu svého profilu, zvolte postupně Upravit profil, Soukromí a zabezpečení a Upravit nastavení dvoufázového ověřování. Následně se rozhodněte pro formu druhého kroku ověření (SMS zpráva, autentizační aplikace) a pokračujte dále dle instrukcí. Existuje-li ovšem sebemenší riziko, že došlo ke kompromitaci vašeho účtu, měli byste co nejdříve změnit své heslo a dvoufázové ověřování zapnout. Důkladně si přitom zkontrolujte, že útočníci mezitím nezměnili e-mailovou adresu ani telefonní číslo spojené s vaším účtem.“
Důležité také je, zda jste používali stejné heslo pro účet na Instagramu také v dalších online službách. V takovém případě byste heslo měli okamžitě změnit i tam. A použijte v případě změny dostatečně silná hesla a pro každý účet jiná. Velmi dobře vám s tím pomohou například správci hesel.