骗子转战Instagram,钓个鱼呗亲!

8月24日消息,Instagram用户目前成为新的网络钓鱼活动的目标,该活动使用登录尝试警告以及类似双因素身份验证(2FA)代码的内容,以使骗局更加可信。
骗子使用网络钓鱼诱骗潜在的受害者,他们通过各种社会工程技术控制欺诈性网站传递敏感信息并窃取用户信息。
在这种情况下,攻击者在此活动后分发的网络钓鱼电子邮件使用虚假的Instagram登录警报,说明有人试图登录目标帐户,要求他们通过邮件中链接的登录页面确认其身份。
钓鱼邮件冒充Instagram官网
这些消息尽可能模仿Instagram的官方消息,以避免在将目标重定向到攻击者的网络钓鱼登陆页面之前引起任何怀疑。
“除了一些标点符号错误和’请’字之前缺少的空格外,这条消息干净、清晰、低调,并不具备任何钓鱼信息应有的特质,”Sophos的Paul Ducklin详细分析了该活动。
为了进一步增加其为官方Instagram警报的错觉,骗子还添加了一个代码,这些代码被用作身份确认的第二个身份验证代码。
“类似2FA代码的操作可以很好地伪装成Instagram安全机制,它暗示用户不需要使用密码,而只是确认电子邮件到达你这里即可,”Ducklin补充道。
一旦进入网络钓鱼者的登陆页面,目标就会看到一个完美克隆的Instagram登录页面,该登录页面使用有效的HTTPS证书进行保护,并显示绿色挂锁以减轻用户对于交易的任何怀疑。
但是,假的网站终究会有其漏洞所在:网络钓鱼者不使用网络浏览器地址栏中的instagram.com域名,而是使用.CF域名(中非共和国的国家代码顶级域名)。
这表明即使有人看到绿色挂锁说链接是安全的,也要检查域名是否是网站或服务使用的合法域名是必须的。
“他们使用了一个免费域名,这足以证明该网站的可信度应该提起每个人的注意,如果我们不得不猜测,我们会建议用户,那些骗子其实并不像他们想的那么高深莫测,”Ducklin解释道。
因此,为了避免像这样的Instagram网络钓鱼骗局得手,如果有类似instagram要求您登录的页面不属于instagram.com网站,则不应输入登录凭据。
在被网络钓鱼或黑客入侵后该怎么办
这不是针对Instagram用户的第一次或最后一次网络钓鱼活动,一些用户必然会因诈骗而遭遇新的攻击而陷入困境。
例如,4月份,两个独立的Instagram网络钓鱼攻击系列被称为“The Nasty List”和“The HotList”,它们在获取用户的登录凭据之后席卷社交网络,并通过先前被黑客入侵的帖子向关注者发送消息。
如果在此类攻击中被窃取了Instagram凭据,或者本人帐户被黑了但仍然可以访问您的帐户,则应首先检查其正确电子邮件地址和电话号码是否仍与该帐户相关联。
要执行此操作,必须转到个人资料并选择“编辑个人资料”,然后滚动到底部以查看电子邮件地址和电话号码。如果他们已与攻击者控制的登录信息交换,就得尝试输入正确的信息。在此之后,再按照 Instagram提供的说明更改帐户的密码。
密码更改将导致当前登录到帐户的所有设备自动注销,允许重新登录以重新获得对Instagram帐户的控制权。
以下是Instagram的说明,如果已经被钓鱼但仍然可以登录帐户的可行办法:
更改密码 或发送 密码重置电子邮件
撤消 对任何可疑第三方应用的访问权限
启用 双因素身份验证 以获得额外的安全性
但是,如果在Instagram帐户被黑客入侵后失去了对帐户的访问权限,受害者唯一能做的就是将这件事报告给Instagram的安全咨询部门并等候解决方案。
Instagram将在通过照片或用户注册时使用的电子邮件地址或电话号码以及注册时使用的设备类型验证身份后恢复身份。
参考来源:
bleepingcomputer
https://www.bleepingcomputer.com/news/security/instagram-phishing-emails-use-fake-login-warning-baits/
—–招聘好基友的分割线—–
招聘岗位:
网络安全编辑(采编岗)
工作内容:
主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等;
采访国内外网络安全研究人员,撰写原创报道,输出领域的深度观点;
针对不同发布渠道,策划不同类型选题;
参与打理宅客频道微信公众号等。
岗位要求:
对网络安全有兴趣,有相关知识储备或从业经历更佳;
科技媒体1-2年从业经验;
有独立采编和撰写原创报道的能力;
加分项:网感好,擅长新媒体写作、90后、英语好、自带段子手属性……
你将获得的是:
与国内外网络安全领域顶尖安全大牛聊人生的机会;
国内出差可能不新鲜了,我们还可以硅谷轮岗、国外出差(+顺便玩耍);
你将体验各种前沿黑科技,掌握一手行业新闻、大小公司动向,甚至是黑客大大们的独家秘闻;
老司机编辑手把手带;
以及与你的能力相匹配的薪水。
坐标北京,简历投递至:[email protected]
戳蓝字查看更多精彩内容
探索篇

暗网【上】| 暗网【下】
薅羊毛|黑客武器库|威胁猎人
剁手赚钱|0Day攻击|暗黑女主播
踩雷|嗑药坐牢重归正途|内鬼
脑内植入
真相篇

拼多多将追回“薅羊毛”订单,包括已充话费和Q币订单
75条笑死人的知乎神回复,用60行代码就爬完了
不剁手也吃土?可能是挖矿木马掏空你的钱包
游戏黑产:我还在空中跳伞,就被人用拳头远程打死
都8012年了,英国卫生部门居然还在为“擦屁股”
与病毒名称相似,“捏脸”游戏ZEPETO涉嫌窃听?
扎心!Tumblr推AI鉴黄计划夺老司机“珍爱”
我报了个税,隐私就被扒光了?
黑客骗局:Ins网红落难记
人物篇

专访:“蹲坑神器”与它背后男人们不得不说的故事
磨刀人王伟:我前期砸了两个亿做这套方案
白帽汇的赵武摘掉了他的“帽子”|专访
数字联盟刘晶晶:四年只做一个产品
长亭科技陈宇森:我打破的四个质疑
薛锋:我眼中的威胁情报三年之变
“无锁不开”女黑客——skye
知道创宇赵伟:怼死“空气币”
李均:我眼中的黑客精神
风宁:自由追风者
更多精彩正在整理中……

“喜欢就赶紧关注我们”
宅客『Letshome』
雷锋网旗下业界报道公众号。
专注先锋科技领域,讲述黑客背后的故事。
长按下图二维码并识别关注

为您推荐

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

返回顶部