你最近有沒有在Instagram上收到任何提及 giftmart 或 buzz 的帶有連結可疑訊息?不要點開任何連結!即便這些訊息看似來自你認識的人。這是個詐騙活動!
點開連結收禮物?當心 IG 帳密被盜!
詐騙者在入侵你的 Instagram 好友帳號後就能夠向你發送看似來自你好友的惡意 Instagram 訊息。這些訊息都會提到禮物或贈品,並且包含一個連結:
資料來源:Reddit
繼續閱讀【 Instagram網路釣魚警訊】朋友送的禮物連結,別亂點!
標籤: IG
如何避免被 IG「乳房大軍」色情帳號標籤騷擾?
「乳房大軍」是網友對色情 IG 帳號的暱稱,知識型網紅還以 「天天留言關注你的忠實粉絲」「忠實鐵粉,貼文一出秒留言」反諷,這些色情機器人假帳號不只瞄準擁有藍勾勾認證的名人或網紅貼文底下煽情留言,還會隨意標籤一般用戶。連藝人也抱怨連連:受不了「乳房大軍」 柯佳嬿標IG官方帳號問:無法管? 用戶該如何避免被這些留言或標籤騷擾?
「乳房大軍」是網友對色情 IG 帳號的暱稱,知識型網紅還以 「天天留言關注你的忠實粉絲」「忠實鐵粉,貼文一出秒留言」反諷,這些色情機器人假帳號不只瞄準擁有藍勾勾認證的名人或網紅貼文底下煽情留言,還會隨意標籤一般用戶。
從去年開始 IG (Instagram) 遭到海量色情帳號機器人湧進,開始只鎖定名人、網紅在貼文回覆煽情留言,後來則轉換手法,隨意標記 IG 用戶到色情圖片貼文中。
這些色情假帳號的目的是誘使網友進入乳房大軍帳號首頁,誘惑點擊自我介紹文字當中的裸露影片連結邀請,接著導向色情交友網站,要求付費才能看更多內容。PC-cillin 用戶如果經不住誘惑,點進該網址,會出現相關警告訊息。
趨勢科技提醒 IG 用戶,不要點擊來路不明的網址,並且隨手檢舉可疑帳號。
繼續閱讀按「下一步」,竟一步步將IG 登入憑證親手給了駭客!拆解駭客盜取 Instagram 帳號的手法
哪一種人IG帳號容易被盜?
看到以下訊息,容易驚惶失措或太過興奮,而採取行動:1.你因為違反著作權帳號將被刪除,請依指示完成下一步
一旦不小心將自己的登入憑證親手給了駭客,駭客就會立即登入使用者帳號並修改密碼,讓使用者無法登入。駭客利用怎樣的手法來盜取 Instagram 帳號?這些駭客拿到帳號之後用來做些什麼?使用者如何保護自己的帳號?本文從資安研究人員的角度來分析駭客如何盜取 Instagram 帳號,並提供一些建議給 Instagram 用戶以及其他社群媒體的用戶作為參考。
許多人在生活和工作上都會用到 Facebook、Twitter 和 Instagram 等社群媒體。光 Instagram 的每月活躍用戶就超過 10 億,幾乎是今日全球人口的八分之一。
而且就像蜜蜂追尋花蜜一樣,駭客集團也紛紛聚集到熱門的社群媒體來尋找獵物,作為他們勒索的目標。近年來,我們觀察到各種琳瑯滿目的駭客集團跟詐騙誘餌。
本文探討某駭客集團 (或個人駭客) 盜取 Instagram 帳號的一起攻擊行動。這次行動當中,駭客為了獲得最大效益,特別瞄準那些所謂的社群媒體網紅,這樣的現象過去也曾有過。由於這類網紅通常累積了不少粉絲,就算沒有數百萬也有數萬,而其收入通常來自品牌代言、聯合行銷,或其他管道,因此他們的帳號一旦被盜就會損失慘重。
這類攻擊事件的調查為何重要?俗話說「掌握知識就成功了一半」,這句話在這裡也同樣適用。只要對駭客攻擊手法有更高的防範意識,就能減少人們因受騙而將帳號登入憑證奉送給駭客的情況。此外,閱讀這些詐騙案例,也可提醒使用者培養良好網路資安習慣的重要性。
盜 Instagram 帳號手法:
一.假 IG 官方網路釣魚連結
為了引誘受害者上當,駭客經常偽裝成技術支援人員。有時候,他們也會冒充成目標對象的好友。
他們會利用網路釣魚(Phishing)郵件或是 Telegram 和 WhatsApp 這類即時通訊軟體,或是 Instagram 本身來與潛在的受害目標接觸,他們可能會建立新的帳號或使用偷來的帳號來接觸受害者。他們的第一封訊息通常不會稱呼對方姓名,而是使用一些通用的問候語,這是詐騙常見的徵兆之一。
連警察都敢駭!偽IG 官方私訊帳號違反著作權將被刪除,按申訴連結就上鉤
之前 IG 竊取帳號的手法是發出網路釣魚電子郵件要求使用者必須確認其帳號才能得到驗證徽章。目前新的手法是透過 Instagram 平台內的私訊,宣稱是由 Instagram 說明中心所寄出,指出受害人違反著作權,帳號將遭刪除,但可點選訊息中的上訴表單連結,但實際上卻會掉入網路釣魚陷阱。
去年趨勢科技發現了一些攻擊案例,專門竊取名人的 Instagram 帳號。現在,再次出現另一種手法類似的攻擊,但這次使用了新的誘餌來達到相同的目的。駭客將憑證網路釣魚電子郵件偽裝成 Instagram 發出的合法訊息,進而盜取 Instagram 帳號。
這群駭客專找一些尋常的目標下手,像是名人、新創企業業主,以及在社群媒體平台上有廣大追蹤者人數的其他實體等。我們先前曾研究過攝影師遭駭的案例,這次則是一位有超過 16,000 名追蹤者的警官受害,在此案例中我們發現了新的駭客伎倆。
這些受害者除了使用個人的社群媒體帳號,也利用 Instagram 頁面作為發揮影響力和企業經營的行銷工具。擁有龐大追蹤者人數的 Instagram 帳號,代表其擁有更高的可信度和影響力。因此這些帳號自然成為吸引攻擊者下手的目標,他們利用這些帳號進行各種惡意行為,像是勒索被害人、散佈詐騙,或甚至單純用來炫耀他們的駭客技術。
新舊詐騙伎倆相同,網路釣魚誘餌不同
先前的手法和新手法都採用相同的策略:先竊取憑證,然後利用憑證濫用 Instagram 的帳號復原流程,進而取得帳號。
上次的攻擊行動使用電子郵件要求使用者必須確認其帳號,使用者才能得到驗證徽章。但在使用者點選「驗證帳號」按鈕後,卻會連到網路釣魚頁面,這些頁面將收集他們的電子郵件地址、憑證和出生日期。竊取到這些資訊後,攻擊者便能取得修改資訊所需的一切詳細資料,進而取得遭竊的帳號。
在新的手法中,訊息並非透過電子郵件發送,而是透過 Instagram 平台內的私訊提供。訊息宣稱是由 Instagram 說明中心所寄出,指出有人指控帳號擁有者違反著作權,因此其帳號現在有遭刪除的風險。訊息中還會提供另一個連結,偽裝成可提出上訴的表單,但實際上卻是網路釣魚連結。
繼續閱讀「你的IG 帳號出現非法登入活動」一點選帳號就被盜!
雙因子身份認證(2FA)早已成為使用者提升網路帳號安全一個非常簡便好用的方法。但即使這樣,雙重認證卻無法百分之百防範駭客的攻擊。事實上,網路犯罪集團正利用雙重認證通知簡訊來詐騙 Instagram 的使用者,目的是要騙取使用者的帳戶登入憑證。
[延伸閱讀:Machine learning-powered security technology can help stem the tide of credential phishing]
這起相當奸詐的網路釣魚攻擊會先發送一封電子郵件給受害者,告知其 Instagram 帳號出現非法登入活動。要受害者透過該連結至 Instagram 的網頁來確認其身分,點進去後,會導到看似IG 官網的釣魚網站,並假裝雙重認證要求輸入6 位數驗證碼。
網址與登入頁面露出馬腳!
儘管歹徒費盡心機地模仿了 Instagram 的網頁,但其網址還是透露出這是一起網路釣魚詐騙,因為該網址的頂層網域名稱為「.cf」,這是中非共和國的網域代碼, IG 正確官網網址:https://www.instagram.com。
還有另一個詐騙徵兆是該網頁並未提供透過 Facebook 登入的按鈕。但如果平常就不用 Facebook 帳號來登入 Instagram 的使用者,或許不會注意到這點。