雙因子身份認證(2FA)早已成為使用者提升網路帳號安全一個非常簡便好用的方法。但即使這樣,雙重認證卻無法百分之百防範駭客的攻擊。事實上,網路犯罪集團正利用雙重認證通知簡訊來詐騙 Instagram 的使用者,目的是要騙取使用者的帳戶登入憑證。
[延伸閱讀:Machine learning-powered security technology can help stem the tide of credential phishing]
這起相當奸詐的網路釣魚攻擊會先發送一封電子郵件給受害者,告知其 Instagram 帳號出現非法登入活動。要受害者透過該連結至 Instagram 的網頁來確認其身分,點進去後,會導到看似IG 官網的釣魚網站,並假裝雙重認證要求輸入6 位數驗證碼。
網址與登入頁面露出馬腳!
儘管歹徒費盡心機地模仿了 Instagram 的網頁,但其網址還是透露出這是一起網路釣魚詐騙,因為該網址的頂層網域名稱為「.cf」,這是中非共和國的網域代碼, IG 正確官網網址:https://www.instagram.com。
還有另一個詐騙徵兆是該網頁並未提供透過 Facebook 登入的按鈕。但如果平常就不用 Facebook 帳號來登入 Instagram 的使用者,或許不會注意到這點。
