揭露 Instagram 賬戶黑客的伎倆

Instagram 帳戶黑客使用什麼策略？這些網絡犯罪分子如何處理被盜帳戶？用戶如何保護自己的帳戶？我們從安全研究人員的角度研究 Instagram 帳戶黑客事件，並爲 Instagram 和其他社交媒體平颱的用戶分享建議。

許多人  出於個人和商業目的使用 Facebook、Twitter 和 Instagram 等社交網站。僅 Instagram 每月就有超過 10 億用戶——約佔全球當前人口的八分之一。

就像蜜蜂尋找花蜜一樣，網絡犯罪分子也會蜂擁到這些熱門網站，尋找黑客和勒索的目標。近年來，我們觀察到與此類計劃相關的各種團體 和誘餌。

在本文中，我們將研究另一起由個人或黑客組織實施的 Instagram 帳戶黑客攻擊活動。爲了達到最大效果，此次活動背後的黑客會追捕社交媒體影響者，這種模式在過去的活動中也曾出現過。影響者積累了數千甚至數百萬的粉絲，並且經常通過品牌交易、聯盟營銷和其他方式賺錢，如果他們的帳戶被盜用，他們將損失慘重。

爲什麼調查此類活動很重要？俗話説，“知己知彼，百戰不殆”，這句話同樣適用於此計劃。對活動中使用的策略有更深的了解，意味着更少的人會被愚弄，從而將自己的賬戶信息交給網絡犯罪分子。此外，研究此計劃和其他類似計劃可以提醒用戶，永遠不要將適當的網絡安全衛生視爲理所當然。

網絡犯罪分子如何入侵 Instagram 賬戶

爲了引誘目標，黑客經常將他們的賬戶偽裝成技術支持賬戶。有時，他們會冒充目標賬戶所有者的朋友的身份。

然後，他們使用釣魚電子郵件、Telegram 和 WhatsApp 等消息應用程序或 Instagram 本身來聯繫潛在受害者。他們要麼創建新帳戶，要麼重新使用被盜帳戶。他們的初始消息不會提及帳戶所有者的姓名。相反，消息以通用問候語開頭，這是詐騙的明顯跡象之一。

圖 1. 黑客向目標賬戶所有者髮送的消息

圖 1. 黑客向目標賬戶所有者髮送的消息

正如我們過去觀察到的攻擊活動一樣，黑客的消息內容要麼聲稱帳戶所有者犯了版權侵權行爲，要麼聲稱他們可以提供經過驗証的徽章。根據黑客的消息，如果用戶不通過在黑客在消息中包含的網頁鏈接中輸入其信息來驗証其帳戶，則該帳戶將被刪除。該鏈接指向一個模仿官方 Instagram 用戶界麵的釣魚網站。

圖 2. 聲稱目標賬戶所有者侵犯了版權的釣魚頁麵

圖 2. 聲稱目標賬戶所有者侵犯了版權的釣魚頁麵

在釣魚頁麵中選擇“下一步”後，用戶會被要求輸入相關賬戶的用戶名。需要注意的是，釣魚網站不會驗証用戶名是否確實屬於有效的 Instagram 賬戶。

圖 3. 請求目標賬戶所有者用戶名的釣魚頁麵

圖 3. 請求目標賬戶所有者用戶名的釣魚頁麵

然後，繫統會要求用戶輸入 Instagram 帳戶的密碼、與帳戶關聯的電子郵件地址以及電子郵件地址的密碼。同樣，釣魚網站甚至接受無效和不正確的憑據。“繼續使用 Facebook”按鈕也不起作用。

圖 4. 釣魚頁麵請求目標賬戶所有者的密碼、電子郵件地址和電子郵件密碼

圖 4. 釣魚頁麵請求目標賬戶所有者的密碼、電子郵件地址和電子郵件密碼

用戶選擇“繼續使用”，網站會顯示一個確認頁麵，頁麵還要求用戶不要更改賬戶信息，表麵上是給黑客足夠的時間撤回版權侵權索賠，但實際上黑客設置這條信息是爲了爭取足夠的時間使用用戶提供的憑証登錄賬戶。

圖 5. 目標賬戶所有者輸入請求的憑証後，釣魚頁麵顯示確認消息

圖 5. 目標賬戶所有者輸入請求的憑証後，釣魚頁麵顯示確認消息

在確認頁麵中選擇“繼續”會轉到 Instagram 支持網站上的版權部分。黑客在釣魚網站中包含此內容，據説是爲了增加他們的計劃的可信度。

圖 6. 實際 Instagram 支持網站上的版權部分，釣魚網站的確認頁麵會引導您進入該部分

圖 6. 實際 Instagram 支持網站上的版權部分，釣魚網站的確認頁麵會引導您進入該部分

如果用戶不知情，交出真實憑証，網絡犯罪分子就會更改帳戶密碼，使原所有者失去帳戶訪問權限。然後，他們通過手動或通過 Instagram 的數據備份功能下載所有圖片和消息來挖掘帳戶。黑客甚至可能修改帳戶簡介、通過故事功能分享內容或聯繫受害者的聯繫人。

與此同時，黑客開始與受害者談判。他們通常會操作被黑的賬戶，而受害者則使用另一個賬戶與他們交談。然後，他們要求受害者以比特幣、預付信用卡或代金券的形式付款，以換取恢複訪問權限。根據與此活動相關的一些比特幣錢包中髮現的活動，似乎一些目標可能已經付錢了。

然而，談判隻是一種詭計。他們這樣做隻是爲了不讓受害者被迫通過適當的渠道報告事件，並爭取一些時間，因爲從賬戶下載所有數據可能需要兩天時間。受害者付款後，黑客不會歸還賬戶。相反，他們隻會要求更多付款。

在許多情況下，一個噁意行爲者會同時手動入侵多個賬戶。還有一些情況是，屬於一個團體的每個噁意行爲者在活動中都有指定的角色，例如黑客的操作員、付款收集者或監督行動的領導者。

在黑客選擇保留的被盜賬戶中，那些擁有至少 50,000 名粉絲的賬戶被用來維持詐騙活動，而那些擁有 10,000 到 20,000 名粉絲的賬戶則被用作証據，向同行証明黑客是該團夥的一員。

一些黑客還在網絡犯罪地下市場出售他們的黑客技術。

網絡犯罪分子如何承諾提供經過驗証的徽章來引誘潛在受害者

在另一個版本的騙局中，黑客使用虛假的Instagram 驗証徽章申請表作爲誘餌。驗証徽章是一個藍色勾選標記，出現在 Instagram 上大多數有影響力的人、名人、品牌、公司和其他熱門實體的帳戶名稱旁邊。徽章表明 Instagram 已驗証帳戶所有者的身份和合法性。

圖 7. Instagram 官方賬號上顯示的驗証徽章

圖 7. Instagram 官方賬號上顯示的驗証徽章

爲了引誘潛在受害者，黑客會假扮 Instagram（其母公司 Facebook 旗下）的員工，並向目標帳戶所有者髮送一條消息。不出所料，這條消息並沒有提到帳戶所有者的姓名，而是以一句普通的問候語開頭。該消息聲稱帳戶所有者可以通過填冩申請表來申請“藍色徽章”（已驗証徽章），該申請表可通過 URL 訪問。

圖 8. 黑客髮出的消息據稱爲目標賬戶所有者提供了申請驗証徽章的機會

圖 8. 黑客髮出的消息據稱爲目標賬戶所有者提供了申請驗証徽章的機會

該 URL 指向一個請求潛在受害者用戶名的頁麵。與前麵討論的方案一樣，此處的頁麵也不會驗証用戶名是否來自實際的 Instagram 帳戶。

圖 9. 請求目標賬戶所有者用戶名的釣魚頁麵

圖 9. 請求目標賬戶所有者用戶名的釣魚頁麵

在頁麵上選擇“下一步”會轉到另一個頁麵，要求用戶輸入密碼。據稱，這會將用戶登錄到他們自己的帳戶。然而，這實際上並沒有髮生，該頁麵的目的隻是獲取用戶的密碼。該頁麵同樣不會驗証密碼是否有效。

圖 10. 請求目標賬戶所有者密碼的釣魚頁麵

圖 10. 請求目標賬戶所有者密碼的釣魚頁麵

選擇“登錄”後，繫統會顯示“藍色徽章表單”，要求用戶填冩全名、電子郵件地址和電話號碼。該表單還會顯示之前輸入的用戶名。

圖 11. 請求目標賬戶所有者的全名、電子郵件地址和密碼的網絡釣魚頁麵

圖 11. 請求目標賬戶所有者的全名、電子郵件地址和密碼的網絡釣魚頁麵

選擇“髮送”將轉到一個頁麵，該頁麵旨在向用戶確認其已提交驗証徽章的申請。

圖 12. 目標賬戶所有者申請驗証徽章的虛假確認頁麵

圖 12. 目標賬戶所有者申請驗証徽章的虛假確認頁麵

選擇“確定”將轉到實際的 Instagram 支持網站上的版權部分，就像之前討論的方案一樣。

有趣的是，通過VirusTotal調查釣魚 URL 後，我們髮現用於該計劃的 IP 地址還鏈接到一個顯然與 Covid-19 騙局有關的 URL

圖 13. 與此方案相關的 IP 地址的 URL（來源：VirusTotal）

圖 13. 與此方案相關的 IP 地址的 URL（來源：VirusTotal）

網絡犯罪分子如何濫用被黑的 Instagram 帳戶

黑客可以通過多種方式利用被盜賬戶，包括：

要求付款以換取恢複賬戶。如前所述，黑客可以要求付款，然後他們會（據稱）將賬戶歸還給所有者。

欺騙受害者的聯繫人。黑客可以冒充受害者的身份，聯繫受害者的聯繫人，髮送釣魚鏈接或直接索要錢財。

在非法市場出售賬戶。有意向的買家可以購買賬戶來傳播他們自己的騙局或推動他們的宣傳。

使用該帳戶進行操作。黑客可以 將帳戶名稱更改爲類似於 Instagram 技術支持的名稱，並利用其龐大的粉絲群來傳達可信度。

向賬戶所有者索要淫穢照片或視頻。黑客可以向受害者索要淫穢內容。然後，他們可以利用這些內容在網上約會網站上敲詐勒索、出售或釣魚。

將賬戶當作戰利品。黑客可以簡單地將賬戶作爲 他們成功的証據，向他們的團隊或未來的受害者展示。

如何確保賬戶安全

網絡犯罪分子欺騙目標的手段層出不窮。幸運的是，許多平颱正在引入更多安全功能來保護用戶的帳戶。Instagram 最近推出了安全檢查功能，該功能可指導用戶完成一繫列有助於保護其帳戶的步驟。這些步驟包括檢查登錄活動、個人資料信息、共享登錄信息的帳戶以及恢複聯繫信息。

除了應用程序和網站背後團隊的努力之外，用戶還可以通過遵循基本的安全建議來保護他們的帳戶。

建議用戶設置 雙因素或多因素身份驗証。啟用此功能後，即使黑客有密碼，他們也無法訪問帳戶。Instagram和許多其他網站都有可配置的設置。

還建議用戶不要打開來自陌生來源的電子郵件和消息中的鏈接，因爲這些鏈接可能會引導用戶進入釣魚網站。

如果帳戶被黑客入侵或停用，用戶可以查看受影響的服務或網站的官方支持頁麵以獲取更多信息。

用戶還可以使用解決方案來增加安全層。Trend Micro™ Cloud App Security 通過檢測隱藏在電子郵件內容和附件中的噁意 URL（例如網絡釣魚網站）來增強 Microsoft Office 365、Google Workspace 和其他雲服務的安全性。Trend Micro™ Worry-Free™ Services 通過採用機器學習和其他技術來防止憑據網絡釣魚消息和其他電子郵件威脅進入網絡。Trend  Micro Security 爲家庭用戶提供針對其設備上的電子郵件、文件和網絡威脅的保護。