之前 IG 竊取帳號的手法是發出網路釣魚電子郵件要求使用者必須確認其帳號才能得到驗證徽章。目前新的手法是透過 Instagram 平台內的私訊,宣稱是由 Instagram 說明中心所寄出,指出受害人違反著作權,帳號將遭刪除,但可點選訊息中的上訴表單連結,但實際上卻會掉入網路釣魚陷阱。
去年趨勢科技發現了一些攻擊案例,專門竊取名人的 Instagram 帳號。現在,再次出現另一種手法類似的攻擊,但這次使用了新的誘餌來達到相同的目的。駭客將憑證網路釣魚電子郵件偽裝成 Instagram 發出的合法訊息,進而盜取 Instagram 帳號。
這群駭客專找一些尋常的目標下手,像是名人、新創企業業主,以及在社群媒體平台上有廣大追蹤者人數的其他實體等。我們先前曾研究過攝影師遭駭的案例,這次則是一位有超過 16,000 名追蹤者的警官受害,在此案例中我們發現了新的駭客伎倆。
這些受害者除了使用個人的社群媒體帳號,也利用 Instagram 頁面作為發揮影響力和企業經營的行銷工具。擁有龐大追蹤者人數的 Instagram 帳號,代表其擁有更高的可信度和影響力。因此這些帳號自然成為吸引攻擊者下手的目標,他們利用這些帳號進行各種惡意行為,像是勒索被害人、散佈詐騙,或甚至單純用來炫耀他們的駭客技術。
新舊詐騙伎倆相同,網路釣魚誘餌不同
先前的手法和新手法都採用相同的策略:先竊取憑證,然後利用憑證濫用 Instagram 的帳號復原流程,進而取得帳號。
上次的攻擊行動使用電子郵件要求使用者必須確認其帳號,使用者才能得到驗證徽章。但在使用者點選「驗證帳號」按鈕後,卻會連到網路釣魚頁面,這些頁面將收集他們的電子郵件地址、憑證和出生日期。竊取到這些資訊後,攻擊者便能取得修改資訊所需的一切詳細資料,進而取得遭竊的帳號。
在新的手法中,訊息並非透過電子郵件發送,而是透過 Instagram 平台內的私訊提供。訊息宣稱是由 Instagram 說明中心所寄出,指出有人指控帳號擁有者違反著作權,因此其帳號現在有遭刪除的風險。訊息中還會提供另一個連結,偽裝成可提出上訴的表單,但實際上卻是網路釣魚連結。
繼續閱讀