網絡釣魚騙子轉戰Instagram 竊取用戶信息
Instagram用戶目前成為新的網絡釣魚活動的目標,該活動使用登錄嘗試警告以及類似雙因素身份驗證(2FA)代碼的內容,以使騙局更加可信。騙子使用網絡釣魚誘騙潛在的受害者,他們通過各種社會工程技術控制欺詐性網站傳遞敏感信息並竊取用戶信息。
在這種情況下,攻擊者在此活動後分發的網絡釣魚電子郵件使用虛假的Instagram登錄警報,說明有人試圖登錄目標帳戶,要求他們通過郵件中鏈接的登錄頁面確認其身份。
釣魚郵件冒充Instagram官網
這些消息盡可能模仿Instagram的官方消息,以避免在將目標重定向到攻擊者的網絡釣魚登陸頁面之前引起任何懷疑。
“除了一些標點符號錯誤和’請’字之前缺少的空格外,這條消息乾淨、清晰、低調,並不具備任何釣魚信息應有的特質,”Sophos的Paul Ducklin詳細分析了該活動。
為了進一步增加其為官方Instagram警報的錯覺,騙子還添加了一個代碼,這些代碼被用作身份確認的第二個身份驗證代碼。
“類似2FA代碼的操作可以很好地偽裝成Instagram安全機制,它暗示用戶不需要使用密碼,而只是確認電子郵件到達你這裡即可,”Ducklin補充道。
一旦進入網絡釣魚者的登陸頁面,目標就會看到一個完美克隆的Instagram登錄頁面,該登錄頁面使用有效的HTTPS證書進行保護,並顯示綠色掛鎖以減輕用戶對於交易的任何懷疑。
但是,假的網站終究會有其漏洞所在:網絡釣魚者不使用網絡瀏覽器地址欄中的instagram.com域名,而是使用.CF域名(中非共和國的國家代碼頂級域名)。
這表明即使有人看到綠色掛鎖說鏈接是安全的,也要檢查域名是否是網站或服務使用的合法域名是必須的。
“他們使用了一個免費域名,這足以證明該網站的可信度應該提起每個人的注意,如果我們不得不猜測,我們會建議用戶,那些騙子其實並不像他們想的那麼高深莫測,” Ducklin解釋道。
因此,為了避免像這樣的Instagram網絡釣魚騙局得手,如果有類似instagram要求您登錄的頁面不屬於instagram.com網站,則不應輸入登錄憑據。
在被網絡釣魚或黑客入侵後該怎麼辦
這不是針對Instagram用戶的第一次或最後一次網絡釣魚活動,一些用戶必然會因詐騙而遭遇新的攻擊而陷入困境。
例如,4月份,兩個獨立的Instagram網絡釣魚攻擊系列被稱為“The Nasty List”和“The HotList”,它們在獲取用戶的登錄憑據之後席捲社交網絡,並通過先前被黑客入侵的帖子向關注者發送消息。
如果在此類攻擊中被竊取了Instagram憑據,或者本人帳戶被黑了但仍然可以訪問您的帳戶,則應首先檢查其正確電子郵件地址和電話號碼是否仍與該帳戶相關聯。
要執行此操作,必須轉到個人資料並選擇“編輯個人資料”,然後滾動到底部以查看電子郵件地址和電話號碼。如果他們已與攻擊者控制的登錄信息交換,就得嘗試輸入正確的信息。在此之後,再按照Instagram提供的說明更改帳戶的密碼。
密碼更改將導致當前登錄到帳戶的所有設備自動註銷,允許重新登錄以重新獲得對Instagram帳戶的控制權。
以下是Instagram的說明,如果已經被釣魚但仍然可以登錄帳戶的可行辦法:
更改密碼 或發送 密碼重置電子郵件
撤消 對任何可疑第三方應用的訪問權限
啟用 雙因素身份驗證 以獲得額外的安全性
但是,如果在Instagram帳戶被黑客入侵後失去了對帳戶的訪問權限,受害者唯一能做的就是將這件事報告給Instagram的安全諮詢部門並等候解決方案。
Instagram將在通過照片或用戶註冊時使用的電子郵件地址或電話號碼以及註冊時使用的設備類型驗證身份後恢復身份。