雷鋒網(wǎng)8月24日消息，Instagram用戶目前成為新的網(wǎng)絡釣魚活動的目標，該活動使用登錄嘗試警告以及類似雙因素身份驗證（2FA）代碼的內(nèi)容，以使騙局更加可信。

騙子使用網(wǎng)絡釣魚誘騙潛在的受害者，他們通過各種社會工程技術(shù)控制欺詐性網(wǎng)站傳遞敏感信息并竊取用戶信息。

在這種情況下，攻擊者在此活動后分發(fā)的網(wǎng)絡釣魚電子郵件使用虛假的Instagram登錄警報，說明有人試圖登錄目標帳戶，要求他們通過郵件中鏈接的登錄頁面確認其身份。

釣魚郵件冒充Instagram官網(wǎng)

這些消息盡可能模仿Instagram的官方消息，以避免在將目標重定向到攻擊者的網(wǎng)絡釣魚登陸頁面之前引起任何懷疑。

“除了一些標點符號錯誤和'請'字之前缺少的空格外，這條消息干凈、清晰、低調(diào)，并不具備任何釣魚信息應有的特質(zhì)，”Sophos的Paul Ducklin詳細分析了該活動。

為了進一步增加其為官方Instagram警報的錯覺，騙子還添加了一個代碼，這些代碼被用作身份確認的第二個身份驗證代碼。

“類似2FA代碼的操作可以很好地偽裝成Instagram安全機制，它暗示用戶不需要使用密碼，而只是確認電子郵件到達你這里即可，”Ducklin補充道。

一旦進入網(wǎng)絡釣魚者的登陸頁面，目標就會看到一個完美克隆的Instagram登錄頁面，該登錄頁面使用有效的HTTPS證書進行保護，并顯示綠色掛鎖以減輕用戶對于交易的任何懷疑。

但是，假的網(wǎng)站終究會有其漏洞所在：網(wǎng)絡釣魚者不使用網(wǎng)絡瀏覽器地址欄中的instagram.com域名，而是使用.CF域名（中非共和國的國家代碼頂級域名）。

這表明即使有人看到綠色掛鎖說鏈接是安全的，也要檢查域名是否是網(wǎng)站或服務使用的合法域名是必須的。

“他們使用了一個免費域名，這足以證明該網(wǎng)站的可信度應該提起每個人的注意，如果我們不得不猜測，我們會建議用戶，那些騙子其實并不像他們想的那么高深莫測，”Ducklin解釋道。

因此，為了避免像這樣的Instagram網(wǎng)絡釣魚騙局得手，如果有類似instagram要求您登錄的頁面不屬于instagram.com網(wǎng)站，則不應輸入登錄憑據(jù)。

在被網(wǎng)絡釣魚或黑客入侵后該怎么辦

這不是針對Instagram用戶的第一次或最后一次網(wǎng)絡釣魚活動，一些用戶必然會因詐騙而遭遇新的攻擊而陷入困境。

例如，4月份，兩個獨立的Instagram網(wǎng)絡釣魚攻擊系列被稱為“The Nasty List”和“The HotList”，它們在獲取用戶的登錄憑據(jù)之后席卷社交網(wǎng)絡，并通過先前被黑客入侵的帖子向關(guān)注者發(fā)送消息。

如果在此類攻擊中被竊取了Instagram憑據(jù)，或者本人帳戶被黑了但仍然可以訪問您的帳戶，則應首先檢查其正確電子郵件地址和電話號碼是否仍與該帳戶相關(guān)聯(lián)。

要執(zhí)行此操作，必須轉(zhuǎn)到個人資料并選擇“編輯個人資料”，然后滾動到底部以查看電子郵件地址和電話號碼。如果他們已與攻擊者控制的登錄信息交換，就得嘗試輸入正確的信息。在此之后，再按照 Instagram提供的說明更改帳戶的密碼。

密碼更改將導致當前登錄到帳戶的所有設(shè)備自動注銷，允許重新登錄以重新獲得對Instagram帳戶的控制權(quán)。

以下是Instagram的說明，如果已經(jīng)被釣魚但仍然可以登錄帳戶的可行辦法：

更改密碼  或發(fā)送  密碼重置電子郵件

撤消  對任何可疑第三方應用的訪問權(quán)限

啟用  雙因素身份驗證  以獲得額外的安全性

但是，如果在Instagram帳戶被黑客入侵后失去了對帳戶的訪問權(quán)限，受害者唯一能做的就是將這件事報告給Instagram的安全咨詢部門并等候解決方案。

Instagram將在通過照片或用戶注冊時使用的電子郵件地址或電話號碼以及注冊時使用的設(shè)備類型驗證身份后恢復身份。

參考來源：bleepingcomputer

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。