Instagram 用户小心!新钓鱼攻击伪造超逼真的“假官网”。(图片来源:Adobe Stock)
文/黄肇祥
Instagram 用户要注意!新一波的网络钓鱼攻击正锁定 Instagram 平台,会寄送安全码伪装,就连假官网都做得非常逼真!要如何防范、识破这些伎俩?以下报导告诉你!
据英国安全软件公司《Sophos》释出最新报告,揭露新型的 Instagram 网络钓鱼攻击。首先,对方会先寄一封类似于官方的电子邮件,警告用户帐号被不明人士登入,要求透过邮件内的连结确认,他们还会很奸诈地附上一组安全码,模拟常见的 2FA 身份验证,借此增加可信度。
邮件从里到外,不太容易常觉异样,从《Sophos》所提供的截图来看,除了部分字体前面少了半角空格,或是标点符号错误以外,从整体的风格、图片、讯息资讯,钓鱼邮件确实与官方信件有些类似。
点击连结后,会进入假 Instagram 官网,外观几乎一模一样,甚至还获得 HTTPS 的凭证,网站会显示绿色的安全颜色,甚至连网址名称都是一样的!唯一能抓到露馅的地方是网址。正版 Instagram 注册的是“.com”,但诈骗集团为了取用合法、有 HTTPS 凭证的网站,会转向购买非洲较为便宜的网域,例如本次报告的假官网就是以“.cf”(中非)做结尾。
一旦用户没有发现异状,完成登入步骤,帐号、密码就会流入他人手中,诈骗集团得以运用你的帐号作为人头,去攻击、诈骗亲朋好友,造成第二波危害。
该如何避免上钩呢?《Sophos》提出三个建议,首先,避免使用电子邮件内的登入超连结,多花一个步骤使用 App、Chrome 浏览器登入。第二,则是检查网址位置,查看是否少一个字,或是在大小写、网域上有诈。最后则是善用官方的检查功能,多半的社群网站都有提供登入历程查询,不要依赖任何连结。