IG用戶注意：侵權警告信件可能是網釣攻擊

資安業者Sophos本周警告，駭客鎖定Instagram（IG）用戶展開網釣攻擊，傳送假冒為IG的侵權警告通知信件，實則為了騙取IG用戶的登入憑證。

研究人員表示，許多人都會在IG上張貼圖片或影像等各式內容，難免會在不經意中侵犯著作權，於是駭客便趁機展開攻擊，透過電子郵件傳送偽裝成IG的侵權警告通知，威脅將在24小時內關閉使用者的IG帳號，除非使用者提出異議。

因此郵件中就列出了一個「著作權異議格式」（Copyright Objection Form）的連結，使用者點選該連結之後，就會被導向一個假冒的IG網頁，以讓使用者提出上訴。

就像傳統的行動裝置網釣活動一樣，這個IG網釣網頁的網址列上的確寫著「https://instagram.copyrightinfor........」，後面則因為行動裝置的螢幕尺寸限制而未能完整顯示，因此使用者也看不見它所使用的頂級網域名稱為奇怪的.cf。只要一按下上訴（Appeal）鍵，便會要求使用者輸入IG帳號與密碼，用戶憑證即會被傳送到駭客所控制的伺服器。

Sophos指出，IG憑證對駭客的價值在於登入後能夠揭露更多與使用者有關的資訊，還可以詐騙使用者的親友，因此，假設IG用戶被駭了，那麼其親友也會曝露在安全風險中。

事實上，IG在發現用戶所張貼的內容侵犯著作權時，並不會先行警告用戶，而是逕自將內容移除，之後才會通知使用者，且會在郵件提供檢舉報告的內容，以及所侵權內容的所有權人身分。

研究人員也提出了幾項建議供使用者參考，以免落入網釣陷阱。例如在Sophos所取得的網釣信件中，有許多拼字或文法上的錯誤；在網址太長而無法一次檢視時，多花一些力氣查看完整的網址；使用密碼管理工具可避免在陌生的網域上輸入憑證；以及千萬不要透過電子郵件的連結輸入憑證。