Instagram 帐户是如何被黑的?
2021-09-12 12:35:00 Author: www.4hou.com(查看原文) 阅读量:57 收藏

许多人出于个人和商业目的使用 Facebook、Twitter 和 Instagram 等社交网站,仅 Instagram 每月就有超过 10 亿用户,约占世界当前人口的八分之一。

在本文中,研究人员研究了由个人攻击者或黑客组织发起的另一项 Instagram 帐户黑客活动。为了获得最大的影响,该活动背后的黑客会将目标放在社交媒体上有影响力的人,这种模式在过去的活动中也出现过。有影响力的人已经积累了成千上万的粉丝,并且经常通过品牌交易、联盟营销和其他方式赚钱,如果他们的账户受到损害,他们将会损失惨重。

攻击者如何破解 Instagram 帐户

为了诱骗目标,黑客经常将他们的账户伪装成技术支持账户。甚至他们会伪装成攻击者的朋友。

然后,他们使用网络钓鱼电子邮件、Telegram 和 WhatsApp 等消息应用程序或 Instagram 本身来联系潜在受害者。为此,他们要么创建新帐户,要么重复使用被盗帐户。他们最初的信息并没有通过姓名来称呼帐户所有者。相反,邮件以通用的问候语开头,这是骗局的迹象之一。

Figure-1-Instagram-account-hacker-message.webp.jpg

黑客发给目标账户所有者的信息

就像研究人员过去观察到的那样,黑客的信息内容要么声称帐户所有者侵犯了版权,要么声称他们可以提供经过验证的徽章。根据黑客的消息,如果用户不通过在黑客在消息中包含链接的网页中输入其信息来验证其帐户,则该帐户将被删除。该链接指向一个模仿官方 Instagram 用户界面的钓鱼网站。

Figure-2-Phishing-page-claiming-Instagram-copyright-violation.webp.jpg

一个声称目标帐户所有者侵犯版权的钓鱼页面

在钓鱼页面中选择“下一步”后,用户会被要求输入问题帐户的用户名。值得注意的是,该钓鱼网站并不验证用户名是否确实属于一个有效的Instagram账户。

Figure-3-Phishing-page-requesting-Instagram-username.webp.jpg

请求目标帐户所有者的用户名的钓鱼页面

然后要求用户输入 Instagram 帐户的密码、与该帐户关联的电子邮件地址以及电子邮件地址的密码。同样,钓鱼网站甚至接受无效和不正确的凭据。“继续使用 Facebook”按钮也不起作用。

Figure-4-Phishing-pages-requesting-Instagram-password.webp.jpg

请求目标帐户所有者的密码、电子邮件地址和电子邮件密码的钓鱼页面

用户选择“Continue As”后,网站会显示一个确认页面。该页面还指示用户不要更改其帐户信息,表面上是为了给黑客足够的时间撤回版权侵权索赔。但实际上这条消息是由黑客包含的,以便他们可以花足够的时间使用用户提供的凭据登录帐户。

Figure-5-Phishing-page-showing-Instagram-confirmation-message.webp.jpg

目标帐户所有者输入请求的凭据后显示确认消息的网络钓鱼页面

在确认页面中选择“继续”会导致实际 Instagram 支持网站上的版权部分,黑客将其包含在网络钓鱼网站中,据说是为了给他们的计划提供一些可信度。

Figure-6-Instagram-copyright-site.webp.jpg

真正的Instagram支持网站上关于版权的部分,就是这个钓鱼网站的确认页面

如果用户无意中交出了他们的真实凭据,攻击者就会继续更改帐户的密码,从而使原始所有者无法访问该帐户。然后他们通过手动或通过 Instagram 的数据备份功能下载所有图像和消息来挖掘帐户。黑客甚至可能修改帐户简介,通过故事功能分享内容,或联系受害者的联系人。

与此同时,黑客开始与受害者谈判。他们通常操作被入侵的账户,而受害者则使用不同的账户与他们交谈。然后,他们要求以比特币、预付信用卡或代金券的形式支付,以换取恢复访问。根据在一些与此次活动相关的比特币钱包中发现的活动,似乎有些目标可能已经付了钱。

然而,谈判只是一个诡计。他们这样做的目的是让受害者不会被迫通过适当的渠道报告事件,而且他们可以争取一些时间,因为从该账户下载所有数据可能需要两天时间。受害者付钱后,黑客不会归还账户。相反,他们会要求更多的赎金。

在许多情况下,一个攻击者会同时手动破坏多个帐户。在某些情况下,属于一个组的每个攻击者在活动中都有指定的角色,例如黑客的操作者、收款人或监督操作的领导者。

在黑客选择保留的被盗账户中,至少有5万名粉丝的账户被用来保持诈骗活动。

一些黑客还在地下网络犯罪中出售他们的黑客技术。

攻击者如何通过提供经过验证的徽章的承诺来引诱潜在受害者

在另一个版本的骗局中,黑客使用伪造的 Instagram 验证徽章申请表作为诱饵。验证徽章是一个蓝色复选标记,出现在 Instagram 上大多数影响力的人、名人、品牌、公司和其他受欢迎的实体的账户名称,徽章显示 Instagram 已验证帐户所有者的身份和合法性。

Figure-7-Instagram-verified-batch.webp.jpg

Instagram 官方账号上的验证徽章

为了诱骗潜在的受害者,黑客伪装成 Instagram(在其母公司 Facebook 旗下)的工作人员,并通过一条消息联系目标帐户所有者,不出所料,该消息并未按帐户所有者的姓名寻址,而是以一般的问候。该消息声称帐户所有者可以通过填写申请表来申请“蓝色徽章”(验证徽章),该申请表可以通过 URL 访问。

Figure-8-Message-from-hackers-about-Instagram-badge.webp.jpg

这是一条黑客发来的信息,据称它为目标账户所有者提供了申请认证徽章的机会

该 URL 指向一个请求潜在受害者用户名的页面,与之前讨论的方案一样,这里的页面也不会验证用户名是否来自实际的 Instagram 帐户。

Figure-9-Phishing-page-requesting-Instagram-username.webp.jpg

请求目标帐户所有者用户名的钓鱼页面

在页面上选择“下一步”会转到另一个请求用户密码的页面,这应该是将用户登录到他们自己的帐户中。然而,这实际上并没有发生,该页面的目的只是为了获取用户的密码。该页面同样不会验证密码是否有效。

Figure-10-Phishing-page-requesting-Instagram-password.webp.jpg

请求目标帐户所有者密码的钓鱼页面

选择“登录”会出现一个“蓝色徽章表格”,要求提供用户的全名、电子邮件地址和电话号码。该表格还显示了之前输入的用户名。

Figure-11-Phishing-page-requesting-Instagram-password.webp.jpg

请求目标帐户所有者的全名、电子邮件地址和密码的网络钓鱼页面

选择“发送”会转到一个页面,该页面应该向用户确认他们的已验证徽章申请已提交。

Figure-12-Fake-Instagram-confirmation-page.webp.jpg

一个虚假的确认页面,用于目标帐户所有者的验证徽章的假定应用程序

就像前面讨论的方案一样,选择“确定”会导致实际 Instagram 支持网站上的版权部分。

有趣的是,在通过 VirusTotal 调查网络钓鱼 URL 后,研究人员发现用于该计划的 IP 地址还链接到一个明显与 Covid-19 骗局有关的 URL。

Figure-13-URLs-related-to-IP-address-linked-to-Instagram-account-hacking-scheme.webp.jpg

与此方案链接的IP地址相关的URL

攻击者如何滥用被黑的 Instagram 帐户

黑客可以通过多种方式利用被盗帐户,包括:

1.要求支付款项以换取账户恢复,如前所述,黑客可以要求付款,之后他们会将账户交还给所有者;

2.欺骗受害者的联系人,黑客可以冒充受害者的身份并联系受害者的联系人以发送网络钓鱼链接或直接盗取资金钱;

3.在非法市场上出售账户,有兴趣的买家可以购买该账户来宣传他们自己的骗局或推动他们的宣传;

4.使用该帐户进行操作,黑客可以将帐户名称更改为类似于 Instagram 技术支持的名称,并利用其庞大的粉丝来传达可信度;

5.盗取帐户所有者额不雅照片或视频,然后进行勒索、出售或钓鱼;

6.把账号当成战利品,黑客可以简单地使用该帐户作为他们成功的证明。

如何保证账户安全

1.建议用户设置双因素或多因素身份验证。启用此功能后,即使拥有密码,黑客也无法访问帐户。

2.建议用户永远不要打开来自陌生来源的电子邮件和消息中的链接,因为这些链接可能会导致网络钓鱼网站。

3.用户可以查看受影响的服务或网站的官方支持页面以获取更多信息,以防帐户被黑客入侵或停用。

本文翻译自:https://www.trendmicro.com/en_us/research/21/g/no-filter--exposing-the-tactics-of-instagram-account-hackers.html如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/n7p4
如有侵权请联系:admin#unsafe.sh