連警察都敢駭!偽IG 官方私訊帳號違反著作權將被刪除,按申訴連結就上鉤

2020 年 09 月 08 日2020 年 09 月 08 日趨勢科技 TrendMicro Instagram / IG, 社群(交)網路, 網路釣魚, 網路釣魚 Phishing

之前 IG 竊取帳號的手法是發出網路釣魚電子郵件要求使用者必須確認其帳號才能得到驗證徽章。目前新的手法是透過 Instagram 平台內的私訊,宣稱是由 Instagram 說明中心所寄出，指出受害人違反著作權，帳號將遭刪除,但可點選訊息中的上訴表單連結，但實際上卻會掉入網路釣魚陷阱。

去年趨勢科技發現了一些攻擊案例，專門竊取名人的 Instagram 帳號。現在，再次出現另一種手法類似的攻擊，但這次使用了新的誘餌來達到相同的目的。駭客將憑證網路釣魚電子郵件偽裝成 Instagram 發出的合法訊息，進而盜取 Instagram 帳號。

這群駭客專找一些尋常的目標下手，像是名人、新創企業業主，以及在社群媒體平台上有廣大追蹤者人數的其他實體等。我們先前曾研究過攝影師遭駭的案例，這次則是一位有超過 16,000 名追蹤者的警官受害，在此案例中我們發現了新的駭客伎倆。

這些受害者除了使用個人的社群媒體帳號，也利用 Instagram 頁面作為發揮影響力和企業經營的行銷工具。擁有龐大追蹤者人數的 Instagram 帳號，代表其擁有更高的可信度和影響力。因此這些帳號自然成為吸引攻擊者下手的目標，他們利用這些帳號進行各種惡意行為，像是勒索被害人、散佈詐騙，或甚至單純用來炫耀他們的駭客技術。

新舊詐騙伎倆相同，網路釣魚誘餌不同

先前的手法和新手法都採用相同的策略：先竊取憑證，然後利用憑證濫用 Instagram 的帳號復原流程，進而取得帳號。

上次的攻擊行動使用電子郵件要求使用者必須確認其帳號，使用者才能得到驗證徽章。但在使用者點選「驗證帳號」按鈕後，卻會連到網路釣魚頁面，這些頁面將收集他們的電子郵件地址、憑證和出生日期。竊取到這些資訊後，攻擊者便能取得修改資訊所需的一切詳細資料，進而取得遭竊的帳號。

圖 1：去年發現的攻擊行動所用的網路釣魚電子郵件範例

在新的手法中，訊息並非透過電子郵件發送，而是透過 Instagram 平台內的私訊提供。訊息宣稱是由 Instagram 說明中心所寄出，指出有人指控帳號擁有者違反著作權，因此其帳號現在有遭刪除的風險。訊息中還會提供另一個連結，偽裝成可提出上訴的表單，但實際上卻是網路釣魚連結。

圖 2：駭客所傳送的 Instagram 私訊範例

開啟連結前往頁面後，頁面會要求使用者提供其使用者名稱，目前 (本文撰寫時) 表單不會對資料進行任何驗證，換句話說，就算輸入不存在的帳號或未輸入任何內容，表單都會接受。

圖 3：要求使用者輸入 Instagram 使用者名稱的網路釣魚連結

使用者點選「下一步」按鈕後，便會出現另一個畫面，要求輸入已知名稱、密碼、電子郵件和電子郵件密碼等其他資訊。

圖 4：要求提供 Instagram 帳號和電子郵件憑證的網路釣魚連結

使用者點選「以 (使用者名稱) 身分繼續」按鈕後，頁面將重新導向至合法的 Instagram 登入頁面。如果使用者在點選上述按鈕前已先登入社群媒體網站，表單便會重新導向到使用者的首頁。這會讓使用者產生錯覺，以為他們填寫的表單確實是 Instagram 的官方連結。

從此刻起，駭客已能開始掌控帳號，他們會用從網路釣魚連結竊取到的憑證，變更與該帳號連結的電子郵件。原本的使用者會收到電子郵件，顯示與其 Instagram 帳號相關聯的電子郵件地址已遭變更。但因為駭客已經掌握使用者的電子郵件憑證，他們當然也能控制原始擁有者的電子郵件。

圖 5：使用者收到的電子郵件，信中顯示與其 Instagram 帳號相關聯的電子郵件已遭變更

駭客也會取消原帳號擁有者的行動電話號碼與其帳號的連結。

圖 6：通知原始帳號擁有者有其他裝置已登入的通知 (土耳其文)

六招不受憑證網路釣魚攻擊的引誘

網路罪犯總能想出創新的策略，並運用最有效的方式讓他們的憑證網路釣魚手法得逞。企業和使用者只要遵照下列步驟，就能避免遭駭客引誘：

多加留意看起來合法但要求輸入其他網站帳號憑證的網站 (例如，要求輸入電子郵件憑證的假 Instagram 網站)。這種行為多發生在網路釣魚網站。
設定雙因子身份認證（2FA） (2FA)。這可以增加多一層的安全性，確保駭客即使取得密碼也無法存取帳號。
開啟附件和連結前請再三確認,可將滑鼠游標停在網址上，檢查其是否出現與預期網站不同的網址。
檢查訊息內容中是否有不合文法的結構和拼字錯誤。來自合法公司的電子郵件或其他訊息格式通常會經過仔細校對。
檢查用來傳送訊息的電子郵件。它們可能是完全不同的帳號，或偽裝成公司的合法電子郵件地址。
多加注意要求輸入個人資訊和憑證的訊息。如有任何疑慮，請透過其他方式聯絡公司，以確認訊息是否來自該公司。

以下是我們建議可用來抵禦網路釣魚攻擊的安全解決方案：

個人用戶
建議採用趨勢科技PC-cillin: 電腦/手機同時保護，迅速阻擋最新網路威脅，即時阻擋未知威脅，FB詐騙、Line詐騙、釣魚郵件、詐騙網址，一秒辨識！
企業用戶
趨勢科技 Cloud App Security™ – 利用電腦視覺找出會竊取憑證的網路釣魚網站，並透過威脅情報找出並封鎖隱藏在訊息內容和附件中的惡意網址。
Worry-Free Business Security – 偵測並封鎖電子郵件威脅，像是避免憑證網路釣魚攻擊進入網路。本解決方案亦將機器學習(Machine learning,ML)結合其他偵測技術一起使用。

來源: New Bait Used in Instagram Profile Hacking Scheme 作者:Jindrich Karasek

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板，跨平台防護３到位➔ 》即刻免費下載試用

相關文章:

《看漫畫談資安》「 Apple ID 帳號復原通知」有可能是網路釣魚?!

假「雙子殺手」線上看,真騙 LINE 帳密!

專挑名人IG ( Instagram )帳號的駭客集團現身

還在用「Facebook 登入」各種網站和應用程式？