Instagram 帳戶是如何被黑的？

許多人出于個人和商業(yè)目的使用 Facebook、Twitter 和 Instagram 等社交網(wǎng)站，僅 Instagram 每月就有超過 10 億用戶，約占世界當(dāng)前人口的八分之一。

在本文中，研究人員研究了由個人攻擊者或黑客組織發(fā)起的另一項 Instagram 帳戶黑客活動。為了獲得最大的影響，該活動背后的黑客會將目標放在社交媒體上有影響力的人，這種模式在過去的活動中也出現(xiàn)過。有影響力的人已經(jīng)積累了成千上萬的粉絲，并且經(jīng)常通過品牌交易、聯(lián)盟營銷和其他方式賺錢，如果他們的賬戶受到損害，他們將會損失慘重。

攻擊者如何破解 Instagram 帳戶

為了誘騙目標，黑客經(jīng)常將他們的賬戶偽裝成技術(shù)支持賬戶。甚至他們會偽裝成攻擊者的朋友。

然后，他們使用網(wǎng)絡(luò)釣魚電子郵件、Telegram 和 WhatsApp 等消息應(yīng)用程序或 Instagram 本身來聯(lián)系潛在受害者。為此，他們要么創(chuàng)建新帳戶，要么重復(fù)使用被盜帳戶。他們最初的信息并沒有通過姓名來稱呼帳戶所有者。相反，郵件以通用的問候語開頭，這是騙局的跡象之一。

黑客發(fā)給目標賬戶所有者的信息

就像研究人員過去觀察到的那樣，黑客的信息內(nèi)容要么聲稱帳戶所有者侵犯了版權(quán)，要么聲稱他們可以提供經(jīng)過驗證的徽章。根據(jù)黑客的消息，如果用戶不通過在黑客在消息中包含鏈接的網(wǎng)頁中輸入其信息來驗證其帳戶，則該帳戶將被刪除。該鏈接指向一個模仿官方 Instagram 用戶界面的釣魚網(wǎng)站。

一個聲稱目標帳戶所有者侵犯版權(quán)的釣魚頁面

在釣魚頁面中選擇 " 下一步 " 后，用戶會被要求輸入問題帳戶的用戶名。值得注意的是，該釣魚網(wǎng)站并不驗證用戶名是否確實屬于一個有效的 Instagram 賬戶。

請求目標帳戶所有者的用戶名的釣魚頁面

然后要求用戶輸入 Instagram 帳戶的密碼、與該帳戶關(guān)聯(lián)的電子郵件地址以及電子郵件地址的密碼。同樣，釣魚網(wǎng)站甚至接受無效和不正確的憑據(jù)。" 繼續(xù)使用 Facebook" 按鈕也不起作用。

請求目標帳戶所有者的密碼、電子郵件地址和電子郵件密碼的釣魚頁面

用戶選擇 "Continue As" 后，網(wǎng)站會顯示一個確認頁面。該頁面還指示用戶不要更改其帳戶信息，表面上是為了給黑客足夠的時間撤回版權(quán)侵權(quán)索賠。但實際上這條消息是由黑客包含的，以便他們可以花足夠的時間使用用戶提供的憑據(jù)登錄帳戶。

目標帳戶所有者輸入請求的憑據(jù)后顯示確認消息的網(wǎng)絡(luò)釣魚頁面

在確認頁面中選擇 " 繼續(xù) " 會導(dǎo)致實際 Instagram 支持網(wǎng)站上的版權(quán)部分，黑客將其包含在網(wǎng)絡(luò)釣魚網(wǎng)站中，據(jù)說是為了給他們的計劃提供一些可信度。

真正的 Instagram 支持網(wǎng)站上關(guān)于版權(quán)的部分，就是這個釣魚網(wǎng)站的確認頁面

如果用戶無意中交出了他們的真實憑據(jù)，攻擊者就會繼續(xù)更改帳戶的密碼，從而使原始所有者無法訪問該帳戶。然后他們通過手動或通過 Instagram 的數(shù)據(jù)備份功能下載所有圖像和消息來挖掘帳戶。黑客甚至可能修改帳戶簡介，通過故事功能分享內(nèi)容，或聯(lián)系受害者的聯(lián)系人。

與此同時，黑客開始與受害者談判。他們通常操作被入侵的賬戶，而受害者則使用不同的賬戶與他們交談。然后，他們要求以比特幣、預(yù)付信用卡或代金券的形式支付，以換取恢復(fù)訪問。根據(jù)在一些與此次活動相關(guān)的比特幣錢包中發(fā)現(xiàn)的活動，似乎有些目標可能已經(jīng)付了錢。

然而，談判只是一個詭計。他們這樣做的目的是讓受害者不會被迫通過適當(dāng)?shù)那缊蟾媸录宜麄兛梢誀幦∫恍r間，因為從該賬戶下載所有數(shù)據(jù)可能需要兩天時間。受害者付錢后，黑客不會歸還賬戶。相反，他們會要求更多的贖金。

在許多情況下，一個攻擊者會同時手動破壞多個帳戶。在某些情況下，屬于一個組的每個攻擊者在活動中都有指定的角色，例如黑客的操作者、收款人或監(jiān)督操作的領(lǐng)導(dǎo)者。

在黑客選擇保留的被盜賬戶中，至少有 5 萬名粉絲的賬戶被用來保持詐騙活動。

一些黑客還在地下網(wǎng)絡(luò)犯罪中出售他們的黑客技術(shù)。

攻擊者如何通過提供經(jīng)過驗證的徽章的承諾來引誘潛在受害者

在另一個版本的騙局中，黑客使用偽造的 Instagram 驗證徽章申請表作為誘餌。驗證徽章是一個藍色復(fù)選標記，出現(xiàn)在 Instagram 上大多數(shù)影響力的人、名人、品牌、公司和其他受歡迎的實體的賬戶名稱，徽章顯示 Instagram 已驗證帳戶所有者的身份和合法性。

Instagram 官方賬號上的驗證徽章

為了誘騙潛在的受害者，黑客偽裝成 Instagram（在其母公司 Facebook 旗下）的工作人員，并通過一條消息聯(lián)系目標帳戶所有者，不出所料，該消息并未按帳戶所有者的姓名尋址，而是以一般的問候。該消息聲稱帳戶所有者可以通過填寫申請表來申請 " 藍色徽章 "（驗證徽章），該申請表可以通過 URL 訪問。

這是一條黑客發(fā)來的信息，據(jù)稱它為目標賬戶所有者提供了申請認證徽章的機會

該 URL 指向一個請求潛在受害者用戶名的頁面，與之前討論的方案一樣，這里的頁面也不會驗證用戶名是否來自實際的 Instagram 帳戶。

請求目標帳戶所有者用戶名的釣魚頁面

在頁面上選擇 " 下一步 " 會轉(zhuǎn)到另一個請求用戶密碼的頁面，這應(yīng)該是將用戶登錄到他們自己的帳戶中。然而，這實際上并沒有發(fā)生，該頁面的目的只是為了獲取用戶的密碼。該頁面同樣不會驗證密碼是否有效。

請求目標帳戶所有者密碼的釣魚頁面

選擇 " 登錄 " 會出現(xiàn)一個 " 藍色徽章表格 "，要求提供用戶的全名、電子郵件地址和電話號碼。該表格還顯示了之前輸入的用戶名。

請求目標帳戶所有者的全名、電子郵件地址和密碼的網(wǎng)絡(luò)釣魚頁面

選擇 " 發(fā)送 " 會轉(zhuǎn)到一個頁面，該頁面應(yīng)該向用戶確認他們的已驗證徽章申請已提交。

一個虛假的確認頁面，用于目標帳戶所有者的驗證徽章的假定應(yīng)用程序

就像前面討論的方案一樣，選擇 " 確定 " 會導(dǎo)致實際 Instagram 支持網(wǎng)站上的版權(quán)部分。

有趣的是，在通過 VirusTotal 調(diào)查網(wǎng)絡(luò)釣魚 URL 后，研究人員發(fā)現(xiàn)用于該計劃的 IP 地址還鏈接到一個明顯與 Covid-19 騙局有關(guān)的 URL。

與此方案鏈接的 IP 地址相關(guān)的 URL

攻擊者如何濫用被黑的 Instagram 帳戶

黑客可以通過多種方式利用被盜帳戶，包括：

1. 要求支付款項以換取賬戶恢復(fù)，如前所述，黑客可以要求付款，之后他們會將賬戶交還給所有者；

2. 欺騙受害者的聯(lián)系人，黑客可以冒充受害者的身份并聯(lián)系受害者的聯(lián)系人以發(fā)送網(wǎng)絡(luò)釣魚鏈接或直接盜取資金錢；

3. 在非法市場上出售賬戶，有興趣的買家可以購買該賬戶來宣傳他們自己的騙局或推動他們的宣傳；

4. 使用該帳戶進行操作，黑客可以將帳戶名稱更改為類似于 Instagram 技術(shù)支持的名稱，并利用其龐大的粉絲來傳達可信度；

5. 盜取帳戶所有者額不雅照片或視頻，然后進行勒索、出售或釣魚；

6. 把賬號當(dāng)成戰(zhàn)利品，黑客可以簡單地使用該帳戶作為他們成功的證明。

如何保證賬戶安全

1. 建議用戶設(shè)置雙因素或多因素身份驗證。啟用此功能后，即使擁有密碼，黑客也無法訪問帳戶。

2. 建議用戶永遠不要打開來自陌生來源的電子郵件和消息中的鏈接，因為這些鏈接可能會導(dǎo)致網(wǎng)絡(luò)釣魚網(wǎng)站。

3. 用戶可以查看受影響的服務(wù)或網(wǎng)站的官方支持頁面以獲取更多信息，以防帳戶被黑客入侵或停用。