【藍剔誘惑】Instagram 網絡釣魚攻擊 數千人墮名人認證陷阱
Facebook 及 Instagram 的名人帳戶後方都有一個小藍剔,認證其具知名度,並擁有社會影響力的名人,藍剔帳戶是名人本尊正使用的代表,這個小小的藍剔讓人趨之若鶩。但最近有一個新的 Instagram 網絡釣魚活動,被發現試圖以提供藍剔來欺騙該平台的用戶。
這個網絡釣魚活動被發現是以魚叉式電子郵件接觸收件人,聲稱 Instagram 已審查他們的帳戶,並認為他們有資格獲得藍剔徽章,並要求這些用戶立即填寫表格,並在 48 小時內領取他們的驗證徽章。即使該釣魚活動隱約有欺詐味道,但黑客決定「相信」這些 Instagram 用戶在面臨獲的藍剔的機會,會因而粗心地墮入陷阱上當。
以 AI 驅動的電子郵件安全服務 Vade 的威脅分析師,發現了相關的攻擊活動,報告提到第一批向目標發送消息的電郵,在 7 月 22 日發出。在部署期間,電郵發放量兩次飆升,一次是在 7 月 28 日,另一次則是在 2022 年 8 月 9 日,兩天各有超過 1,000 封網絡釣魚郵件發出。
這些電郵內有 Instagram 和 Facebook 的商標,並通知收件人有資格獲得藍色徽章,並要求他們點擊一個嵌入式按鈕,並導向另一個網頁要求他們填表。電郵又警告用戶,如果他們忽略電郵,表格將在 48 小時內被永久刪除,製造緊迫感。該份網絡釣魚表格託管在名為 “teamcorrectionbadges” 的網域上,使其看起來好像是 Instagram 刻意使用單獨的專用網域來驗證用戶第份。
該網站上的網絡釣魚過程以三個階段的形式進行,每一步都顯示 Instagram、Facebook、WhatsApp、Messenger 和 Meta 商標。第一個表格要求輸入 Instagram 用戶名,第二個要求受害者輸入姓名、電子郵件和電話號碼,而最後一步要求輸入帳戶密碼,聲稱以驗證他們是否擁有帳戶。
受害者完成該過程後,會收到訊息通知他們的帳戶已通過驗證,Instagram 團隊將在接下來的兩天內與他們聯繫,還會顯示一個虛假的申請 ID。
要了解如何保護自己免受這些騙局的侵害,了解 Instagram 驗證程序的實際運作方式至關重要。首先,社交媒體平台永遠不會主動聯繫聲稱提供藍色徽章,用戶只能通過自己申請獲得。其次是只能通過官方平台申請驗證,絕不能訪問單獨的網域。第三,Instagram 藍色徽章是為知名公眾人物、名人和品牌而設,因此普通帳戶不符合資格。
網絡釣魚攻擊者利用 Instagram 用戶的虛榮心,透過網絡釣魚電子郵件使他們中計社交媒體用戶,萬試萬靈,這類攻擊並且不僅限於 Instagram。為了保護帳戶,Instagram 以雙重身份驗證以提高安全性,保障用戶。
