关于ZAKER 融媒体解决方案 合作 加入

骗子转战 Instagram,钓个鱼呗亲!

雷锋网 08-24

雷锋网 8 月 24 日消息,Instagram 用户目前成为新的网络钓鱼活动的目标,该活动使用登录尝试警告以及类似双因素身份验证(2FA)代码的内容,以使骗局更加可信。

骗子使用网络钓鱼诱骗潜在的受害者,他们通过各种社会工程技术控制欺诈性网站传递敏感信息并窃取用户信息。

在这种情况下,攻击者在此活动后分发的网络钓鱼电子邮件使用虚假的 Instagram 登录警报,说明有人试图登录目标帐户,要求他们通过邮件中链接的登录页面确认其身份。

钓鱼邮件冒充 Instagram 官网

这些消息尽可能模仿 Instagram 的官方消息,以避免在将目标重定向到攻击者的网络钓鱼登陆页面之前引起任何怀疑。

" 除了一些标点符号错误和 ' 请 ' 字之前缺少的空格外,这条消息干净、清晰、低调,并不具备任何钓鱼信息应有的特质,"Sophos 的 Paul Ducklin 详细分析了该活动。

为了进一步增加其为官方 Instagram 警报的错觉,骗子还添加了一个代码,这些代码被用作身份确认的第二个身份验证代码。

" 类似 2FA 代码的操作可以很好地伪装成 Instagram 安全机制,它暗示用户不需要使用密码,而只是确认电子邮件到达你这里即可,"Ducklin 补充道。

一旦进入网络钓鱼者的登陆页面,目标就会看到一个完美克隆的 Instagram 登录页面,该登录页面使用有效的 HTTPS 证书进行保护,并显示绿色挂锁以减轻用户对于交易的任何怀疑。

但是,假的网站终究会有其漏洞所在:网络钓鱼者不使用网络浏览器地址栏中的 instagram.com 域名,而是使用 .CF 域名(中非共和国的国家代码顶级域名)。

这表明即使有人看到绿色挂锁说链接是安全的,也要检查域名是否是网站或服务使用的合法域名是必须的。

" 他们使用了一个免费域名,这足以证明该网站的可信度应该提起每个人的注意,如果我们不得不猜测,我们会建议用户,那些骗子其实并不像他们想的那么高深莫测,"Ducklin 解释道。

因此,为了避免像这样的 Instagram 网络钓鱼骗局得手,如果有类似 instagram 要求您登录的页面不属于 instagram.com 网站,则不应输入登录凭据。

在被网络钓鱼或黑客入侵后该怎么办

这不是针对 Instagram 用户的第一次或最后一次网络钓鱼活动,一些用户必然会因诈骗而遭遇新的攻击而陷入困境。

例如,4 月份,两个独立的 Instagram 网络钓鱼攻击系列被称为 "The Nasty List" 和 "The HotList",它们在获取用户的登录凭据之后席卷社交网络,并通过先前被黑客入侵的帖子向关注者发送消息。

如果在此类攻击中被窃取了 Instagram 凭据,或者本人帐户被黑了但仍然可以访问您的帐户,则应首先检查其正确电子邮件地址和电话号码是否仍与该帐户相关联。

要执行此操作,必须转到个人资料并选择 " 编辑个人资料 ",然后滚动到底部以查看电子邮件地址和电话号码。如果他们已与攻击者控制的登录信息交换,就得尝试输入正确的信息。在此之后,再按照 Instagram 提供的说明更改帐户的密码。

密码更改将导致当前登录到帐户的所有设备自动注销,允许重新登录以重新获得对 Instagram 帐户的控制权。

以下是 Instagram 的说明,如果已经被钓鱼但仍然可以登录帐户的可行办法:

更改密码 或发送 密码重置电子邮件

撤消 对任何可疑第三方应用的访问权限

启用 双因素身份验证 以获得额外的安全性

但是,如果在 Instagram 帐户被黑客入侵后失去了对帐户的访问权限,受害者唯一能做的就是将这件事报告给 Instagram 的安全咨询部门并等候解决方案。

Instagram 将在通过照片或用户注册时使用的电子邮件地址或电话号码以及注册时使用的设备类型验证身份后恢复身份。

参考来源:bleepingcomputer

以上内容由"雷锋网"上传发布 查看原文
相关标签 instagram骗子

最新评论

没有更多评论了
互联网新闻

互联网新闻

前沿科技创业资讯

订阅

觉得文章不错,微信扫描分享好友

扫码分享