雙因子身份認證(2FA)早已成為使用者提升網路帳號安全一個非常簡便好用的方法。但即使這樣,雙重認證卻無法百分之百防範駭客的攻擊。事實上,網路犯罪集團正利用雙重認證通知簡訊來詐騙 Instagram 的使用者,目的是要騙取使用者的帳戶登入憑證。
[延伸閱讀:Machine learning-powered security technology can help stem the tide of credential phishing]
這起相當奸詐的網路釣魚攻擊會先發送一封電子郵件給受害者,告知其 Instagram 帳號出現非法登入活動。要受害者透過該連結至 Instagram 的網頁來確認其身分,點進去後,會導到看似IG 官網的釣魚網站,並假裝雙重認證要求輸入6 位數驗證碼。
網址與登入頁面露出馬腳!
儘管歹徒費盡心機地模仿了 Instagram 的網頁,但其網址還是透露出這是一起網路釣魚詐騙,因為該網址的頂層網域名稱為「.cf」,這是中非共和國的網域代碼, IG 正確官網網址:https://www.instagram.com。
還有另一個詐騙徵兆是該網頁並未提供透過 Facebook 登入的按鈕。但如果平常就不用 Facebook 帳號來登入 Instagram 的使用者,或許不會注意到這點。
有趣的是,這個網路釣魚頁面使用了一個合法的 HTTPS 憑證,這也間接印證有越來越多網路釣魚網站開始使用 HTTPS 通訊協定。
駭客一旦得手之後,就可以拿受害者的登入憑證來做很多事,例如,進入受害者其他可透過此社群媒體帳號登入的網路服務。或者,利用這個帳號來蒐集更多情報 (如個人資訊) 以製造更多受害者。此外,歹徒還可能對受害者進行勒索,這類手法對追隨者眾多的社群媒體用戶非常有效。
如何防範網路釣魚攻擊?
儘管雙重認證是一種相當好用又有效的安全機制,但使用者切勿因為有了雙重認證就有恃無恐,或者只單靠雙重認證的保護,尤其當雙重認證通知簡訊目前已成為歹徒的犯罪工具。所以,使用者除了啟用一些安全機制之外,更應配合一些良好的習慣來 防範網路釣魚,例如:
- 隨時留意異常徵兆。使用者應隨時查看電子郵件的寄件人以確定是否真為其人。此外,若訊息當中出現明顯的拼字或文法錯誤,很可能就是網路釣魚攻擊的徵兆。
- 避免點選連結或下載附件檔案。網路犯罪集團經常使用附件檔案或訊息中的連結來騙取使用者的登入憑證。因此,使用者應該盡量避免點選訊息中的連結或下載其附件檔案,除非非常確定訊息的來源安全無虞。
PC-cillin 雲端版可過濾不良網站, 同時保護更多行動裝置或電腦 》立即免費下載試用
以機器學習技術為基礎的解決方案
企業應考慮採用像趨勢科技 Cloud App Security™ 這類解決方案來提升使用者防護,因為該產品採用了機器學習(Machine learning,ML) 技術來偵測及攔截網路釣魚攻擊。當員工收到一封疑似網路釣魚的郵件時,該產品會對郵件的寄件人、內容及網址進行信譽評等分析,然後再結合電腦視覺與人工智慧 (AI) 來檢查剩餘的連結是否有造假的跡象。除此之外,還可偵測郵件內文與附件檔案中的可疑內容,並提供沙盒模擬惡意程式分析與文件漏洞攻擊偵測。
《延伸閱讀 》
- 神偽裝! APWG報告:近六成網路釣魚網站,使用 HTTPS 協定
- 真假大對決:網路釣客針對LinkedIn、 PayPal 、Apple、LINE的網路釣魚技倆
- 專挑名人IG ( Instagram )帳號的駭客集團現身
原文出處:Phishing Attack Tricks Instagram Users via Fake 2-Factor Authentication