(圖翻攝自METRO)
Instagram 用戶要注意!新一波的網路釣魚攻擊正鎖定 Instagram 平台,會寄送安全碼偽裝,就連假官網都做得非常逼真!要如何防範、識破這些伎倆?以下報導告訴你!
據英國安全軟體公司《Sophos》釋出最新報告,揭露新型的 Instagram 網路釣魚攻擊。首先,對方會先寄一封類似於官方的電子郵件,警告用戶帳號被不明人士登入,要求透過郵件內的連結確認,他們還會很奸詐地附上一組安全碼,模擬常見的 2FA 身份驗證,藉此增加可信度。 (圖/翻攝 Sophos)
郵件從裡到外,不太容易常覺異樣,從《Sophos》所提供的截圖來看,除了部分字體前面少了半形空格,或是標點符號錯誤以外,從整體的風格、圖片、訊息資訊,釣魚郵件確實與官方信件有些類似。
點擊連結後,會進入假 Instagram 官網,外觀幾乎一模一樣,甚至還獲得 HTTPS 的憑證,網站會顯示綠色的安全顏色,甚至連網址名稱都是一樣的!唯一能抓到露餡的地方是網址。正版 Instagram 註冊的是「.com」,但詐騙集團為了取用合法、有 HTTPS 憑證的網站,會轉向購買非洲較為便宜的網域,例如本次報告的假官網就是以「.cf」(中非)做結尾。 (圖/翻攝 Sophos)
一旦用戶沒有發現異狀,完成登入步驟,帳號、密碼就會流入他人手中,詐騙集團得以運用你的帳號作為人頭,去攻擊、詐騙親朋好友,造成第二波危害。
該如何避免上鉤呢?《Sophos》提出三個建議,首先,避免使用電子郵件內的登入超連結,多花一個步驟使用 App、Chrome 瀏覽器登入。第二,則是檢查網址位置,查看是否少一個字,或是在大小寫、網域上有詐。最後則是善用官方的檢查功能,多半的社群網站都有提供登入歷程查詢,不要依賴任何連結。
|