按「下一步」,竟一步步將IG 登入憑證親手給了駭客!拆解駭客盜取 Instagram 帳號的手法

哪一種人IG帳號容易被盜?😲
看到以下訊息,容易驚惶失措或太過興奮,而採取行動:
⛔1.你因為違反著作權帳號將被刪除,請依指示完成下一步
⛔2.填寫資訊完成 IG 驗證標章申請

一旦不小心將自己的登入憑證親手給了駭客,駭客就會立即登入使用者帳號並修改密碼,讓使用者無法登入。駭客利用怎樣的手法來盜取 Instagram 帳號?這些駭客拿到帳號之後用來做些什麼?使用者如何保護自己的帳號?本文從資安研究人員的角度來分析駭客如何盜取 Instagram 帳號,並提供一些建議給 Instagram 用戶以及其他社群媒體的用戶作為參考。

按「下一步」,竟一步步將IG 登入憑證親手給了駭客!拆解駭客盜取 Instagram 帳號的手法

許多人在生活和工作上都會用到 Facebook、Twitter 和 Instagram 等社群媒體。光 Instagram 的每月活躍用戶就超過 10 億,幾乎是今日全球人口的八分之一。

而且就像蜜蜂追尋花蜜一樣,駭客集團也紛紛聚集到熱門的社群媒體來尋找獵物,作為他們勒索的目標。近年來,我們觀察到各種琳瑯滿目的駭客集團詐騙誘餌

本文探討某駭客集團 (或個人駭客) 盜取 Instagram 帳號的一起攻擊行動。這次行動當中,駭客為了獲得最大效益,特別瞄準那些所謂的社群媒體網紅,這樣的現象過去也曾有過。由於這類網紅通常累積了不少粉絲,就算沒有數百萬也有數萬,而其收入通常來自品牌代言、聯合行銷,或其他管道,因此他們的帳號一旦被盜就會損失慘重。

這類攻擊事件的調查為何重要?俗話說「掌握知識就成功了一半」,這句話在這裡也同樣適用。只要對駭客攻擊手法有更高的防範意識,就能減少人們因受騙而將帳號登入憑證奉送給駭客的情況。此外,閱讀這些詐騙案例,也可提醒使用者培養良好網路資安習慣的重要性。

盜 Instagram 帳號手法:
一.假 IG 官方網路釣魚連結


為了引誘受害者上當,駭客經常偽裝成技術支援人員。有時候,他們也會冒充成目標對象的好友。

他們會利用網路釣魚(Phishing)郵件或是 Telegram 和 WhatsApp 這類即時通訊軟體,或是 Instagram 本身來與潛在的受害目標接觸,他們可能會建立新的帳號或使用偷來的帳號來接觸受害者。他們的第一封訊息通常不會稱呼對方姓名,而是使用一些通用的問候語,這是詐騙常見的徵兆之一。


圖 1:駭客發送給目標的訊息。
Figure 1. A message from the hackers to a target account owner
圖 1:駭客發送給目標的訊息。

Step1.謊稱違反著作權帳號將被刪除,或宣稱提供驗證標章


正如我們過去觀察到的一個案例,駭客的訊息會謊稱使用者違反著作權,或宣稱提供驗證標章來引起使用者注意。根據駭客的訊息,如果使用者沒有透過訊息內隨附的連結前往某個網頁輸入自己的帳號資料進行認證的話,使用者的帳號將會遭到刪除。事實上該連結會連上一個模仿 Instagram 官方頁面的網路釣魚網站。

◼延伸閱讀: 連警察都敢駭!偽IG 官方私訊帳號違反著作權將被刪除,按申訴連結就上鉤


圖 2:宣稱使用者違反著作權的網路釣魚頁面。
Figure 2. A phishing page claiming that the target account owner has committed a copyright violation
圖 2:宣稱使用者違反著作權的網路釣魚頁面。

Step2.釣魚網頁「下一步」按鈕,引領受害人一步步親手交出帳密


當使用者按下網路釣魚網頁上的「Next」(下一步) 按鈕後,就會被要求輸入其 Instagram 帳號的使用者名稱。值得注意的是,這個網路釣魚網頁並不會確認您輸入的使用者帳號是否為有效的 Instagram 帳號。


Figure 3. A phishing page requesting the target account owner’s username
圖 3:要求您輸入使用者名稱的網路釣魚網頁。

接下來,使用者會被要求輸入 Instagram 帳號的密碼,以及該帳號連結的電子郵件地址,還有電子郵件的密碼。跟前面一樣,網路釣魚網頁並不會檢查您輸入的密碼是否有效,或是否正確。按一下「Continue with Facebook」(以 Facebook 帳號繼續) 按鈕其實也沒有作用。

求使用者輸入帳號密碼、電子郵件地址及電子郵件密碼的網路釣魚網頁。Figure 4. A phishing page requesting the target account owner’s password, email address, and email password
圖 4:要求使用者輸入帳號密碼、電子郵件地址及電子郵件密碼的網路釣魚網頁。


Step3.使用假好心拖延戰術, 以便爭取足夠時間登入受害者的帳號


當使用者按下「Continue As」(以此身分繼續) 的按鈕時,接著會出現一個確認頁面。此頁面會請使用者不要再變更帳號資訊,而且還假好心地說,這樣他們才有足夠的時間幫您解決違反著作權的檢舉聲明。但其實駭客是為了爭取足夠的時間,好讓他們用使用者剛剛提供的資料來登入使用者的帳號。


圖 5:網路釣魚網頁在使用者輸入登入憑證之後所顯示的確認訊息。Figure 5. A phishing page showing a confirmation message after the target account owner enters the requested credentials
圖 5:網路釣魚網頁在使用者輸入登入憑證之後所顯示的確認訊息。

當使用者在確認頁面上按下「Continue」(繼續) 按鈕,就會被帶到 Instagram 官方支援網站有關著作權資訊的頁面。駭客這麼做的用意是為了讓其詐騙手法看起來更有說服力。

圖 6:網路釣魚網站的確認頁面後來連上 Instagram 官方支援網站有關著作權資訊的頁面。Figure 6. The section on copyright on the actual Instagram support site, to which the phishing site’s confirmation page leads
圖 6:網路釣魚網站的確認頁面後來連上 Instagram 官方支援網站有關著作權資訊的頁面。

使用者一旦不小心將自己的登入憑證親手給了駭客,駭客就會立即登入使用者帳號並修改密碼,讓使用者無法登入。接著,駭客會透過手動方式或利用 Instagram 內建的資料備份功能將帳號內的所有圖片和訊息全部下載。駭客甚至還可能修改帳號的個人簡介,並發布內容到限時動態,或是跟受害者的聯絡人接觸。

除此之外,駭客也會跟受害者討價還價,此時駭客會透過受害者被盜的帳號,受害者反而必須另外找一個帳號來跟駭客聯繫。接著,駭客會要求受害者以比特幣、儲值信用卡、或是點券來支付一筆款項來贖回自己的帳號。根據此攻擊所用到的 比特幣錢包活動資料顯示,的確有受害者乖乖付款。

不過,這些討價還價的動作都只是幌子。駭客這麼做只是為了防止受害者循正常管道報案,以便多爭取一點時間讓他們下載帳號內的所有資料,因為這可能要花上一兩天的時間來完成。當受害者乖乖付錢之後,駭客並不會將帳號還給受害者,反而會進一步要求更多贖金。

很多時候,駭客一個人就能同時駭入多個帳號。但有些時候,駭客其實是隸屬於某個集團,每個駭客在整起攻擊行動當中都各自扮演不同的角色,有人負責攻擊,有人負責收錢,而集團首腦則是從海外指揮行動。

在這些偷來的帳號當中,若帳號的粉絲人數超過 5 萬,那駭客會留著用於後續詐騙;若帳號的粉絲人數在 1 萬至 2 萬之間,那麼駭客會拿來向其集團證明自己在團隊的貢獻。

有些駭客甚至會在網路犯罪地下市場上兜售自己的駭客知識。

盜 Instagram 帳號手法:
二.假 FB 名義發送 IG 驗證藍勾勾標章申請書


另一個版本的詐騙是駭客以假冒的  Instagram 驗證標章來當成誘餌。Instagram 驗證標章是顯示在帳號名稱旁邊的一個藍色打勾符號,許多網紅、名人、品牌、企業或其他 Instagram 上知名的帳號都有這個標章。此標章代表 Instagram 已驗證過該帳號的真實性。


Instagram 官方帳號本身就有著驗證標章。
Figure 7. The verified badge as shown on Instagram’s official account
圖 7:Instagram 官方帳號本身就有著驗證標章。

為了誘騙受害者,駭客會假扮成 Instagram 的人員 (假冒其母公司 Facebook 的名義) 發送一封訊息給潛在的受害者,訊息的開頭同樣也不是稱呼使用者的名稱,而是一般通用的問候語。此訊息會宣稱使用者只要透過隨附的網址去填寫一份申請表單,就可以取得這個「藍色標章」 (也就是驗證標章)。

Figure 8. A message from the hackers supposedly offering a target account owner the chance to apply for a verified badge
圖 8:駭客假裝提供受害者驗證標章申請機會的訊息。

連上網址之後,就會出現一個網頁向使用者要求輸入自己的使用者名稱。跟先前討論的詐騙版本一樣,此處也不會檢查使用者輸入的名稱是否為真實存在的 Instagram 帳號。

圖 9:向使用者要求輸入帳號使用者名稱的網路釣魚網頁。
Figure 9. A phishing page that requests the target account owner’s username
圖 9:向使用者要求輸入帳號使用者名稱的網路釣魚網頁。


當按下這個網頁上的「Next」(下一步) 按鈕之後,就會前往另一個網頁向使用者要求輸入密碼。照理說,這樣使用者應該就會登入自己的帳號,但事實則不然,因為這個網頁只會蒐集使用者的密碼,當然,很可能也不會檢查輸入的密碼是否有效。

圖 10:向使用者要求輸入帳號密碼的網路釣魚網頁。
Figure 10. A phishing page that requests the target account owner’s password
圖 10:向使用者要求輸入帳號密碼的網路釣魚網頁。


當按下「Login」(登入) 按鈕之後,就會前往一個「Blue Badge Form」(藍色標章表格) 要求使用者輸入全名、電子郵件地址以及電話號碼。表格上會顯示先前輸入的使用者名稱。

圖 11:要求使用者輸入全名、電子郵件地址及密碼的網路釣魚網頁。Figure 11. A phishing page that requests the target account owner’s full name, email address, and password
圖 11:要求使用者輸入全名、電子郵件地址及密碼的網路釣魚網頁。

當按下「Send」(送出) 之後,就會前往一個確認畫面,告訴使用者其驗證標章申請已經送出。

假的確認頁面告訴使用者其驗證標章申請已經送出。
Figure 12. A fake confirmation page for the target account owner’s supposed application for a verified badge
圖 12:假的確認頁面告訴使用者其驗證標章申請已經送出。


當按下「OK」(確認) 按鈕之後,就會前往 Instagram 官方支援網站關於著作權資訊的頁面,跟之前一樣。

值得一提的是,當我們將此詐騙攻擊的網路釣魚網址拿到  VirusTotal 上查詢時,發現其 IP 位址與另一起 新冠肺炎(COVID-19)詐騙攻擊的網址所對應的 IP 一樣。

Figure 13. URLs related to the IP address linked to this scheme (Source: VirusTotal)
圖 13:這起詐騙攻擊網址的 IP 位址。(資料來源:VirusTotal)

被駭的 Instagram 帳號被拿去做什麼?


駭客偷到帳號之後可以有許多用途,包括:

  1. 🔴 要求受害者支付一筆金額來贖回自己的帳號。如前面提到,駭客會要求受害者付錢,駭客在收到錢之後 (理論上) 應該就會將帳號還給受害者。
  2. 🔴 搜刮受害者的聯絡人。駭客會假扮成受害者跟受害者的聯絡人接觸,發送網路釣魚連結給他們,或者直接跟他們要錢。
  3. 🔴 將帳號拿到非法市集販賣。有興趣的買家,可以購買這些帳號來從事詐騙,或者發送文宣。
  4. 🔴將帳號用於其他行動。駭客可以將帳號名稱改成好像 Instagram 的技術支援人員,利用帳號本身的大量粉絲來增加詐騙可信度。
  5. 🔴 向被害人索取猥褻照或不雅影片。駭客會向被害人要求提供猥褻內容,接著他們就會拿著這些內容來勒索、販售或在約會網站上從事網路交友詐騙 (catfishing)。
  6. 🔴 將帳號當成戰利品來炫耀。駭客也可能單純地將偷來的帳號拿來向同事們或未來的受害者證明他們的本事。

如何確保帳號安全?


駭客集團的詐騙伎倆從來就沒有用完的一天,所幸,許多平台已經開始導入更多的安全功能來保護使用者的帳號。例如 Instagram 最近推出了一項  Security Checkup (資安檢查)  功能,透過一系列的引導步驟協助使用者保護自己的帳號。這些步驟包括檢查自己的:登入活動、個人檔案資訊、共用登入資訊的帳號以及帳號回復資訊。

除了應用程式與網站開發團隊所做的努力之外,使用者自己也可以透過一些基本的資安原則來保護自己的帳號。

首先,建議使用者最好啟用雙重驗證/兩步驟驗證 (2FA)。啟用之後,駭客就算拿到使用者的密碼也無法登入使用者的帳號。Instagram 及許多其他網站都提供了這項功能設定。

此外,最好不要點選不明來源的郵件或訊息中的連結,因為這很可能是網路釣魚網站的連結。

當帳號遭駭遭到停用時,可上服務業者或官方網站的支援頁面來查詢該如何處理。

建議使用者採用可偵測電子郵件內容和附件檔案當中暗藏惡意網址 (如網路釣魚網站)的防毒軟體來讓自己多一層保障,如趨勢科技PC-cillin 可保護家庭使用者,防範電子郵件、檔案與網站威脅。 

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

入侵指標資料

網址

  • helpappealsupport[.]com
  • igcreativeservice[.]com/5313646785/

原文出處:#NoFilter: Exposing the Tactics of Instagram Account Hackers 作者:Jindrich Karasek

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
FBIGYoutubeLINE官網“>
PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
FBIGYoutubeLINE官網