骗子使用网络钓鱼诱骗潜在的受害者,他们通过各种社会工程技术控制欺诈性网站传递敏感信息并窃取用户信息。
在这种情况下,攻击者在此活动后分发的网络钓鱼电子邮件使用虚假的Instagram登录警报,说明有人试图登录目标帐户,要求他们通过邮件中链接的登录页面确认其身份。
钓鱼邮件冒充Instagram官网
这些消息尽可能模仿Instagram的官方消息,以避免在将目标重定向到攻击者的网络钓鱼登陆页面之前引起任何怀疑。
“除了一些标点符号错误和'请'字之前缺少的空格外,这条消息干净、清晰、低调,并不具备任何钓鱼信息应有的特质,”Sophos的Paul Ducklin详细分析了该活动。
为了进一步增加其为官方Instagram警报的错觉,骗子还添加了一个代码,这些代码被用作身份确认的第二个身份验证代码。
“类似2FA代码的操作可以很好地伪装成Instagram安全机制,它暗示用户不需要使用密码,而只是确认电子邮件到达你这里即可,”Ducklin补充道。
一旦进入网络钓鱼者的登陆页面,目标就会看到一个完美克隆的Instagram登录页面,该登录页面使用有效的HTTPS证书进行保护,并显示绿色挂锁以减轻用户对于交易的任何怀疑。
但是,假的网站终究会有其漏洞所在:网络钓鱼者不使用网络浏览器地址栏中的instagram.com域名,而是使用.CF域名(中非共和国的国家代码顶级域名)。
这表明即使有人看到绿色挂锁说链接是安全的,也要检查域名是否是网站或服务使用的合法域名是必须的。
“他们使用了一个免费域名,这足以证明该网站的可信度应该提起每个人的注意,如果我们不得不猜测,我们会建议用户,那些骗子其实并不像他们想的那么高深莫测,”Ducklin解释道。
因此,为了避免像这样的Instagram网络钓鱼骗局得手,如果有类似instagram要求您登录的页面不属于instagram.com网站,则不应输入登录凭据。
在被网络钓鱼或黑客入侵后该怎么办
这不是针对Instagram用户的第一次或最后一次网络钓鱼活动,一些用户必然会因诈骗而遭遇新的攻击而陷入困境。
例如,4月份,两个独立的Instagram网络钓鱼攻击系列被称为“The Nasty List”和“The HotList”,它们在获取用户的登录凭据之后席卷社交网络,并通过先前被黑客入侵的帖子向关注者发送消息。
如果在此类攻击中被窃取了Instagram凭据,或者本人帐户被黑了但仍然可以访问您的帐户,则应首先检查其正确电子邮件地址和电话号码是否仍与该帐户相关联。
要执行此操作,必须转到个人资料并选择“编辑个人资料”,然后滚动到底部以查看电子邮件地址和电话号码。如果他们已与攻击者控制的登录信息交换,就得尝试输入正确的信息。在此之后,再按照 Instagram提供的说明更改帐户的密码。
密码更改将导致当前登录到帐户的所有设备自动注销,允许重新登录以重新获得对Instagram帐户的控制权。
以下是Instagram的说明,如果已经被钓鱼但仍然可以登录帐户的可行办法:
更改密码 或发送 密码重置电子邮件
撤消 对任何可疑第三方应用的访问权限
启用 双因素身份验证 以获得额外的安全性
但是,如果在Instagram帐户被黑客入侵后失去了对帐户的访问权限,受害者唯一能做的就是将这件事报告给Instagram的安全咨询部门并等候解决方案。
Instagram将在通过照片或用户注册时使用的电子邮件地址或电话号码以及注册时使用的设备类型验证身份后恢复身份。