基於許多人都會在IG上張貼圖片或影像等各式內容,難免會在不經意中侵犯著作權,於是駭客便趁機展開攻擊,透過電子郵件傳送偽裝成IG的侵權警告通知,威脅將在24小時內關閉使用者的IG帳號,除非使用者輸入IG帳號與密碼登入系統提出異議。(圖片來源/Sophos)

資安業者Sophos本周警告,駭客鎖定Instagram(IG)用戶展開網釣攻擊,傳送假冒為IG的侵權警告通知信件,實則為了騙取IG用戶的登入憑證。

研究人員表示,許多人都會在IG上張貼圖片或影像等各式內容,難免會在不經意中侵犯著作權,於是駭客便趁機展開攻擊,透過電子郵件傳送偽裝成IG的侵權警告通知,威脅將在24小時內關閉使用者的IG帳號,除非使用者提出異議。

因此郵件中就列出了一個「著作權異議格式」(Copyright Objection Form)的連結,使用者點選該連結之後,就會被導向一個假冒的IG網頁,以讓使用者提出上訴。

就像傳統的行動裝置網釣活動一樣,這個IG網釣網頁的網址列上的確寫著「https://instagram.copyrightinfor........」,後面則因為行動裝置的螢幕尺寸限制而未能完整顯示,因此使用者也看不見它所使用的頂級網域名稱為奇怪的.cf。只要一按下上訴(Appeal)鍵,便會要求使用者輸入IG帳號與密碼,用戶憑證即會被傳送到駭客所控制的伺服器。

Sophos指出,IG憑證對駭客的價值在於登入後能夠揭露更多與使用者有關的資訊,還可以詐騙使用者的親友,因此,假設IG用戶被駭了,那麼其親友也會曝露在安全風險中。

事實上,IG在發現用戶所張貼的內容侵犯著作權時,並不會先行警告用戶,而是逕自將內容移除,之後才會通知使用者,且會在郵件提供檢舉報告的內容,以及所侵權內容的所有權人身分。

研究人員也提出了幾項建議供使用者參考,以免落入網釣陷阱。例如在Sophos所取得的網釣信件中,有許多拼字或文法上的錯誤;在網址太長而無法一次檢視時,多花一些力氣查看完整的網址;使用密碼管理工具可避免在陌生的網域上輸入憑證;以及千萬不要透過電子郵件的連結輸入憑證。


Advertisement

更多 iThome相關內容