Instagram用戶(hù)目前成為新的網(wǎng)絡(luò)釣魚(yú)活動(dòng)的目標(biāo)，該活動(dòng)使用登錄嘗試警告以及類(lèi)似雙因素身份驗(yàn)證（2FA）代碼的內(nèi)容，以使騙局更加可信。騙子使用網(wǎng)絡(luò)釣魚(yú)誘騙潛在的受害者，他們通過(guò)各種社會(huì)工程技術(shù)控制欺詐性網(wǎng)站傳遞敏感信息并竊取用戶(hù)信息。

在這種情況下，攻擊者在此活動(dòng)后分發(fā)的網(wǎng)絡(luò)釣魚(yú)電子郵件使用虛假的Instagram登錄警報(bào)，說(shuō)明有人試圖登錄目標(biāo)帳戶(hù)，要求他們通過(guò)郵件中鏈接的登錄頁(yè)面確認(rèn)其身份。

釣魚(yú)郵件冒充Instagram官網(wǎng)

這些消息盡可能模仿Instagram的官方消息，以避免在將目標(biāo)重定向到攻擊者的網(wǎng)絡(luò)釣魚(yú)登陸頁(yè)面之前引起任何懷疑。

“除了一些標(biāo)點(diǎn)符號(hào)錯(cuò)誤和'請(qǐng)'字之前缺少的空格外，這條消息干凈、清晰、低調(diào)，并不具備任何釣魚(yú)信息應(yīng)有的特質(zhì)，”Sophos的Paul Ducklin詳細(xì)分析了該活動(dòng)。

為了進(jìn)一步增加其為官方Instagram警報(bào)的錯(cuò)覺(jué)，騙子還添加了一個(gè)代碼，這些代碼被用作身份確認(rèn)的第二個(gè)身份驗(yàn)證代碼。

“類(lèi)似2FA代碼的操作可以很好地偽裝成Instagram安全機(jī)制，它暗示用戶(hù)不需要使用密碼，而只是確認(rèn)電子郵件到達(dá)你這里即可，”Ducklin補(bǔ)充道。

一旦進(jìn)入網(wǎng)絡(luò)釣魚(yú)者的登陸頁(yè)面，目標(biāo)就會(huì)看到一個(gè)完美克隆的Instagram登錄頁(yè)面，該登錄頁(yè)面使用有效的HTTPS證書(shū)進(jìn)行保護(hù)，并顯示綠色掛鎖以減輕用戶(hù)對(duì)于交易的任何懷疑。

但是，假的網(wǎng)站終究會(huì)有其漏洞所在：網(wǎng)絡(luò)釣魚(yú)者不使用網(wǎng)絡(luò)瀏覽器地址欄中的instagram.com域名，而是使用.CF域名（中非共和國(guó)的國(guó)家代碼頂級(jí)域名）。

這表明即使有人看到綠色掛鎖說(shuō)鏈接是安全的，也要檢查域名是否是網(wǎng)站或服務(wù)使用的合法域名是必須的。

“他們使用了一個(gè)免費(fèi)域名，這足以證明該網(wǎng)站的可信度應(yīng)該提起每個(gè)人的注意，如果我們不得不猜測(cè)，我們會(huì)建議用戶(hù)，那些騙子其實(shí)并不像他們想的那么高深莫測(cè)，”Ducklin解釋道。

因此，為了避免像這樣的Instagram網(wǎng)絡(luò)釣魚(yú)騙局得手，如果有類(lèi)似instagram要求您登錄的頁(yè)面不屬于instagram.com網(wǎng)站，則不應(yīng)輸入登錄憑據(jù)。

在被網(wǎng)絡(luò)釣魚(yú)或黑客入侵后該怎么辦？

這不是針對(duì)Instagram用戶(hù)的第一次或最后一次網(wǎng)絡(luò)釣魚(yú)活動(dòng)，一些用戶(hù)必然會(huì)因詐騙而遭遇新的攻擊而陷入困境。

例如，4月份，兩個(gè)獨(dú)立的Instagram網(wǎng)絡(luò)釣魚(yú)攻擊系列被稱(chēng)為“The Nasty List”和“The HotList”，它們?cè)讷@取用戶(hù)的登錄憑據(jù)之后席卷社交網(wǎng)絡(luò)，并通過(guò)先前被黑客入侵的帖子向關(guān)注者發(fā)送消息。

如果在此類(lèi)攻擊中被竊取了Instagram憑據(jù)，或者本人帳戶(hù)被黑了但仍然可以訪問(wèn)您的帳戶(hù)，則應(yīng)首先檢查其正確電子郵件地址和電話(huà)號(hào)碼是否仍與該帳戶(hù)相關(guān)聯(lián)。

要執(zhí)行此操作，必須轉(zhuǎn)到個(gè)人資料并選擇“編輯個(gè)人資料”，然后滾動(dòng)到底部以查看電子郵件地址和電話(huà)號(hào)碼。如果他們已與攻擊者控制的登錄信息交換，就得嘗試輸入正確的信息。在此之后，再按照 Instagram提供的說(shuō)明更改帳戶(hù)的密碼。

密碼更改將導(dǎo)致當(dāng)前登錄到帳戶(hù)的所有設(shè)備自動(dòng)注銷(xiāo)，允許重新登錄以重新獲得對(duì)Instagram帳戶(hù)的控制權(quán)。

以下是Instagram的說(shuō)明，如果已經(jīng)被釣魚(yú)但仍然可以登錄帳戶(hù)的可行辦法：

更改密碼  或發(fā)送 密碼重置電子郵件

撤消  對(duì)任何可疑第三方應(yīng)用的訪問(wèn)權(quán)限

啟用  雙因素身份驗(yàn)證 以獲得額外的安全性

但是，如果在Instagram帳戶(hù)被黑客入侵后失去了對(duì)帳戶(hù)的訪問(wèn)權(quán)限，受害者唯一能做的就是將這件事報(bào)告給Instagram的安全咨詢(xún)部門(mén)并等候解決方案。

Instagram將在通過(guò)照片或用戶(hù)注冊(cè)時(shí)使用的電子郵件地址或電話(huà)號(hào)碼以及注冊(cè)時(shí)使用的設(shè)備類(lèi)型驗(yàn)證身份后恢復(fù)身份。

來(lái)源：cnBeta