最近出现了一场网络钓鱼活动,以“侵犯版权”电子邮件为幌子,针对 Instagram 用户。这显然是假邮件,因此您在处理此类电子邮件时应该保持警惕。
黑客发起了一场欺骗活动,旨在诱骗用户泄露其 Instagram 帐户登录信息和备份代码,这可能会导致信息泄露。损害双因素身份验证 (2FA) 提供的安全性。
双因素身份验证是重要的安全层,在登录时需要额外形式的验证。 Instagram 通常会为设置双因素身份验证的用户生成八位数的备份代码,提供如果主要身份验证方法失败,则可以使用替代方法访问帐户。
另请阅读—— Android 很快将包含反网络钓鱼保护功能,以保护您免受黑客攻击
在这次最新的网络钓鱼尝试中,用户收到一封声称来自 Instagram 母公司 Meta 的电子邮件,指控他们侵犯版权。该欺骗性消息诱骗收件人点击按钮对涉嫌违规行为提出上诉,将他们重定向到旨在收集敏感信息的网络钓鱼页面。
同样的模式已被多次使用,包括针对 Facebook 用户,并促进了 LockBit 勒索软件和 BazaLoader 恶意软件等的感染链。让我们也记住可怕的勒索软件LockBit 现在面向全球更多用户。
针对 Instagram 的新网络钓鱼活动分几个阶段进行:
- 用户会收到一封电子邮件,警告他们侵犯版权,并被要求对该决定提出上诉。
- 通过单击呼叫按钮,用户将被重定向到模仿 Meta 违规门户的网络钓鱼网站。
- 然后,用户会被引导至类似于 Meta 的“申诉中心”门户的第二个网络钓鱼页面,要求他们输入用户名和密码。
- 获得帐户凭据后,钓鱼网站会要求用户确认其帐户是否受到 2FA 保护。
- 一旦确认,用户将被迫提供 8 位备份代码,这是绕过 2FA 的关键部分。
尽管活动中存在明显的欺诈迹象,例如可疑的发件人地址和网络钓鱼页面 URL,攻击者依靠电子邮件的紧急性来有效地攻击毫无戒心的目标。
因此,用户必须谨慎行事,警惕意外的电子邮件,尤其是那些声称侵犯版权的电子邮件。有关这些事项的正式沟通通常在平台内进行,而不是通过电子邮件进行。因此我们只能提醒您避免点击可疑链接,绝不泄露敏感信息例如 Instagram 官方网站或应用程序之外的密码或备份代码。
请记住,备份代码是保密的,应以与密码相同的保密级别进行处理。为了回复未经请求的电子邮件或在未经验证的网站上共享这些代码可能会导致您无法访问您的帐户。幸运的是,像 BitDefender 这样的公司已经在致力于人工智能能够在几秒钟内发现最常见的在线诈骗。
