安全企业Sophos本周警告,黑客锁定Instagram(IG)用户展开网络钓鱼攻击,发送假冒为IG的侵权警告通知信件,实则为了骗取IG用户的登录凭证。
研究人员表示,许多人都会在IG上发布图片或图片等各式内容,难免会在不经意中侵犯著作权,于是黑客便趁机展开攻击,通过电子邮件发送伪装成IG的侵权警告通知,威胁将在24小时内关闭用户的IG账号,除非用户提出异议。
因此邮件中就列出了一个“著作权异议格式”(Copyright Objection Form)的连接,用户点击该连接之后,就会被导向一个假冒的IG网页,以让用户提出上诉。
就像传统的移动设备网络钓鱼活动一样,这个IG网络钓鱼网页的网址列上的确写着“https://instagram.copyrightinfor……..”,后面则因为移动设备的屏幕尺寸限制而未能完整显示,因此用户也看不见它所使用的顶级域名名称为奇怪的.cf。只要一按下上诉(Appeal)键,便会要求用户输入IG账号与密码,用户凭证即会被发送到黑客所控制的服务器。
Sophos指出,IG凭证对黑客的价值在于登录后能够披露更多与用户有关的信息,还可以诈骗用户的亲友,因此,假设IG用户被黑了,那么其亲友也会暴露在安全风险中。
事实上,IG在发现用户所发布的内容侵犯著作权时,并不会先行警告用户,而是径自将内容移除,之后才会通知用户,且会在邮件提供举报报告的内容,以及所侵权内容的所有权人身份。
研究人员也提出了几项建议供用户参考,以免落入网络钓鱼陷阱。例如在Sophos所取得的网络钓鱼信件中,有许多拼字或文法上的错误;在网址太长而无法一次审查时,多花一些力气审查完整的网址;使用密码管理工具可避免在陌生的域名上输入凭证;以及千万不要通过电子邮件的连接输入凭证。