許多人出于個(gè)人和商業(yè)目的使用 Facebook、Twitter 和 Instagram 等社交網(wǎng)站�,僅 Instagram 每月就有超過(guò) 10 億用戶��,約占世界當(dāng)前人口的八分之一�����。
許多人出于個(gè)人和商業(yè)目的使用 Facebook�、Twitter 和 Instagram 等社交網(wǎng)站,僅 Instagram 每月就有超過(guò) 10 億用戶�����,約占世界當(dāng)前人口的八分之一。
在本文中�����,研究人員研究了由個(gè)人攻擊者或黑客組織發(fā)起的另一項(xiàng) Instagram 帳戶黑客活動(dòng)�。為了獲得最大的影響,該活動(dòng)背后的黑客會(huì)將目標(biāo)放在社交媒體上有影響力的人��,這種模式在過(guò)去的活動(dòng)中也出現(xiàn)過(guò)�����。有影響力的人已經(jīng)積累了成千上萬(wàn)的粉絲�,并且經(jīng)常通過(guò)品牌交易、聯(lián)盟營(yíng)銷(xiāo)和其他方式賺錢(qián)�,如果他們的賬戶受到損害,他們將會(huì)損失慘重��。
攻擊者如何破解 Instagram 帳戶
為了誘騙目標(biāo)�����,黑客經(jīng)常將他們的賬戶偽裝成技術(shù)支持賬戶。甚至他們會(huì)偽裝成攻擊者的朋友����。
然后,他們使用網(wǎng)絡(luò)釣魚(yú)電子郵件����、Telegram 和 WhatsApp 等消息應(yīng)用程序或 Instagram 本身來(lái)聯(lián)系潛在受害者��。為此�,他們要么創(chuàng)建新帳戶,要么重復(fù)使用被盜帳戶�。他們最初的信息并沒(méi)有通過(guò)姓名來(lái)稱呼帳戶所有者。相反�����,郵件以通用的問(wèn)候語(yǔ)開(kāi)頭����,這是騙局的跡象之一。
黑客發(fā)給目標(biāo)賬戶所有者的信息
就像研究人員過(guò)去觀察到的那樣�����,黑客的信息內(nèi)容要么聲稱帳戶所有者侵犯了版權(quán),要么聲稱他們可以提供經(jīng)過(guò)驗(yàn)證的徽章����。根據(jù)黑客的消息,如果用戶不通過(guò)在黑客在消息中包含鏈接的網(wǎng)頁(yè)中輸入其信息來(lái)驗(yàn)證其帳戶��,則該帳戶將被刪除���。該鏈接指向一個(gè)模仿官方 Instagram 用戶界面的釣魚(yú)網(wǎng)站�����。
一個(gè)聲稱目標(biāo)帳戶所有者侵犯版權(quán)的釣魚(yú)頁(yè)面
在釣魚(yú)頁(yè)面中選擇 " 下一步 " 后�����,用戶會(huì)被要求輸入問(wèn)題帳戶的用戶名��。值得注意的是�,該釣魚(yú)網(wǎng)站并不驗(yàn)證用戶名是否確實(shí)屬于一個(gè)有效的 Instagram 賬戶�。
請(qǐng)求目標(biāo)帳戶所有者的用戶名的釣魚(yú)頁(yè)面
然后要求用戶輸入 Instagram 帳戶的密碼、與該帳戶關(guān)聯(lián)的電子郵件地址以及電子郵件地址的密碼����。同樣�,釣魚(yú)網(wǎng)站甚至接受無(wú)效和不正確的憑據(jù)�。" 繼續(xù)使用 Facebook" 按鈕也不起作用。
請(qǐng)求目標(biāo)帳戶所有者的密碼�、電子郵件地址和電子郵件密碼的釣魚(yú)頁(yè)面
用戶選擇 "Continue As" 后,網(wǎng)站會(huì)顯示一個(gè)確認(rèn)頁(yè)面��。該頁(yè)面還指示用戶不要更改其帳戶信息��,表面上是為了給黑客足夠的時(shí)間撤回版權(quán)侵權(quán)索賠����。但實(shí)際上這條消息是由黑客包含的���,以便他們可以花足夠的時(shí)間使用用戶提供的憑據(jù)登錄帳戶��。
目標(biāo)帳戶所有者輸入請(qǐng)求的憑據(jù)后顯示確認(rèn)消息的網(wǎng)絡(luò)釣魚(yú)頁(yè)面
在確認(rèn)頁(yè)面中選擇 " 繼續(xù) " 會(huì)導(dǎo)致實(shí)際 Instagram 支持網(wǎng)站上的版權(quán)部分�,黑客將其包含在網(wǎng)絡(luò)釣魚(yú)網(wǎng)站中�����,據(jù)說(shuō)是為了給他們的計(jì)劃提供一些可信度��。
真正的 Instagram 支持網(wǎng)站上關(guān)于版權(quán)的部分���,就是這個(gè)釣魚(yú)網(wǎng)站的確認(rèn)頁(yè)面
如果用戶無(wú)意中交出了他們的真實(shí)憑據(jù)����,攻擊者就會(huì)繼續(xù)更改帳戶的密碼,從而使原始所有者無(wú)法訪問(wèn)該帳戶����。然后他們通過(guò)手動(dòng)或通過(guò) Instagram 的數(shù)據(jù)備份功能下載所有圖像和消息來(lái)挖掘帳戶。黑客甚至可能修改帳戶簡(jiǎn)介�����,通過(guò)故事功能分享內(nèi)容�,或聯(lián)系受害者的聯(lián)系人。
與此同時(shí)���,黑客開(kāi)始與受害者談判��。他們通常操作被入侵的賬戶��,而受害者則使用不同的賬戶與他們交談�����。然后�,他們要求以比特幣、預(yù)付信用卡或代金券的形式支付���,以換取恢復(fù)訪問(wèn)����。根據(jù)在一些與此次活動(dòng)相關(guān)的比特幣錢(qián)包中發(fā)現(xiàn)的活動(dòng)�����,似乎有些目標(biāo)可能已經(jīng)付了錢(qián)�����。
然而���,談判只是一個(gè)詭計(jì)。他們這樣做的目的是讓受害者不會(huì)被迫通過(guò)適當(dāng)?shù)那缊?bào)告事件��,而且他們可以爭(zhēng)取一些時(shí)間����,因?yàn)閺脑撡~戶下載所有數(shù)據(jù)可能需要兩天時(shí)間。受害者付錢(qián)后����,黑客不會(huì)歸還賬戶����。相反���,他們會(huì)要求更多的贖金����。
在許多情況下��,一個(gè)攻擊者會(huì)同時(shí)手動(dòng)破壞多個(gè)帳戶�����。在某些情況下�����,屬于一個(gè)組的每個(gè)攻擊者在活動(dòng)中都有指定的角色���,例如黑客的操作者��、收款人或監(jiān)督操作的領(lǐng)導(dǎo)者��。
在黑客選擇保留的被盜賬戶中����,至少有 5 萬(wàn)名粉絲的賬戶被用來(lái)保持詐騙活動(dòng)。
一些黑客還在地下網(wǎng)絡(luò)犯罪中出售他們的黑客技術(shù)�。
攻擊者如何通過(guò)提供經(jīng)過(guò)驗(yàn)證的徽章的承諾來(lái)引誘潛在受害者
在另一個(gè)版本的騙局中,黑客使用偽造的 Instagram 驗(yàn)證徽章申請(qǐng)表作為誘餌�。驗(yàn)證徽章是一個(gè)藍(lán)色復(fù)選標(biāo)記,出現(xiàn)在 Instagram 上大多數(shù)影響力的人����、名人、品牌����、公司和其他受歡迎的實(shí)體的賬戶名稱,徽章顯示 Instagram 已驗(yàn)證帳戶所有者的身份和合法性�����。
Instagram 官方賬號(hào)上的驗(yàn)證徽章
為了誘騙潛在的受害者�,黑客偽裝成 Instagram(在其母公司 Facebook 旗下)的工作人員����,并通過(guò)一條消息聯(lián)系目標(biāo)帳戶所有者�,不出所料�����,該消息并未按帳戶所有者的姓名尋址�,而是以一般的問(wèn)候。該消息聲稱帳戶所有者可以通過(guò)填寫(xiě)申請(qǐng)表來(lái)申請(qǐng) " 藍(lán)色徽章 "(驗(yàn)證徽章)�,該申請(qǐng)表可以通過(guò) URL 訪問(wèn)。
這是一條黑客發(fā)來(lái)的信息�����,據(jù)稱它為目標(biāo)賬戶所有者提供了申請(qǐng)認(rèn)證徽章的機(jī)會(huì)
該 URL 指向一個(gè)請(qǐng)求潛在受害者用戶名的頁(yè)面���,與之前討論的方案一樣���,這里的頁(yè)面也不會(huì)驗(yàn)證用戶名是否來(lái)自實(shí)際的 Instagram 帳戶。
請(qǐng)求目標(biāo)帳戶所有者用戶名的釣魚(yú)頁(yè)面
在頁(yè)面上選擇 " 下一步 " 會(huì)轉(zhuǎn)到另一個(gè)請(qǐng)求用戶密碼的頁(yè)面����,這應(yīng)該是將用戶登錄到他們自己的帳戶中。然而���,這實(shí)際上并沒(méi)有發(fā)生����,該頁(yè)面的目的只是為了獲取用戶的密碼。該頁(yè)面同樣不會(huì)驗(yàn)證密碼是否有效��。
請(qǐng)求目標(biāo)帳戶所有者密碼的釣魚(yú)頁(yè)面
選擇 " 登錄 " 會(huì)出現(xiàn)一個(gè) " 藍(lán)色徽章表格 "���,要求提供用戶的全名�����、電子郵件地址和電話號(hào)碼���。該表格還顯示了之前輸入的用戶名。
請(qǐng)求目標(biāo)帳戶所有者的全名��、電子郵件地址和密碼的網(wǎng)絡(luò)釣魚(yú)頁(yè)面
選擇 " 發(fā)送 " 會(huì)轉(zhuǎn)到一個(gè)頁(yè)面���,該頁(yè)面應(yīng)該向用戶確認(rèn)他們的已驗(yàn)證徽章申請(qǐng)已提交�����。
一個(gè)虛假的確認(rèn)頁(yè)面,用于目標(biāo)帳戶所有者的驗(yàn)證徽章的假定應(yīng)用程序
就像前面討論的方案一樣����,選擇 " 確定 " 會(huì)導(dǎo)致實(shí)際 Instagram 支持網(wǎng)站上的版權(quán)部分��。
有趣的是��,在通過(guò) VirusTotal 調(diào)查網(wǎng)絡(luò)釣魚(yú) URL 后�����,研究人員發(fā)現(xiàn)用于該計(jì)劃的 IP 地址還鏈接到一個(gè)明顯與 Covid-19 騙局有關(guān)的 URL���。
與此方案鏈接的 IP 地址相關(guān)的 URL
攻擊者如何濫用被黑的 Instagram 帳戶
黑客可以通過(guò)多種方式利用被盜帳戶,包括:
1. 要求支付款項(xiàng)以換取賬戶恢復(fù)��,如前所述���,黑客可以要求付款����,之后他們會(huì)將賬戶交還給所有者����;
2. 欺騙受害者的聯(lián)系人,黑客可以冒充受害者的身份并聯(lián)系受害者的聯(lián)系人以發(fā)送網(wǎng)絡(luò)釣魚(yú)鏈接或直接盜取資金錢(qián);
3. 在非法市場(chǎng)上出售賬戶����,有興趣的買(mǎi)家可以購(gòu)買(mǎi)該賬戶來(lái)宣傳他們自己的騙局或推動(dòng)他們的宣傳;
4. 使用該帳戶進(jìn)行操作�,黑客可以將帳戶名稱更改為類(lèi)似于 Instagram 技術(shù)支持的名稱,并利用其龐大的粉絲來(lái)傳達(dá)可信度�����;
5. 盜取帳戶所有者額不雅照片或視頻���,然后進(jìn)行勒索�����、出售或釣魚(yú)��;
6. 把賬號(hào)當(dāng)成戰(zhàn)利品����,黑客可以簡(jiǎn)單地使用該帳戶作為他們成功的證明��。
如何保證賬戶安全
1. 建議用戶設(shè)置雙因素或多因素身份驗(yàn)證�。啟用此功能后�����,即使擁有密碼,黑客也無(wú)法訪問(wèn)帳戶����。
2. 建議用戶永遠(yuǎn)不要打開(kāi)來(lái)自陌生來(lái)源的電子郵件和消息中的鏈接,因?yàn)檫@些鏈接可能會(huì)導(dǎo)致網(wǎng)絡(luò)釣魚(yú)網(wǎng)站��。
3. 用戶可以查看受影響的服務(wù)或網(wǎng)站的官方支持頁(yè)面以獲取更多信息�����,以防帳戶被黑客入侵或停用����。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
