Instagram 帳戶是如何被黑的？

許多人出于個人和商業(yè)目的使用 Facebook、Twitter 和 Instagram 等社交網站，僅 Instagram 每月就有超過 10 億用戶，約占世界當前人口的八分之一。

在本文中，研究人員研究了由個人攻擊者或黑客組織發(fā)起的另一項 Instagram 帳戶黑客活動。為了獲得最大的影響，該活動背后的黑客會將目標放在社交媒體上有影響力的人，這種模式在過去的活動中也出現過。有影響力的人已經積累了成千上萬的粉絲，并且經常通過品牌交易、聯盟營銷和其他方式賺錢，如果他們的賬戶受到損害，他們將會損失慘重。

攻擊者如何破解 Instagram 帳戶

為了誘騙目標，黑客經常將他們的賬戶偽裝成技術支持賬戶。甚至他們會偽裝成攻擊者的朋友。

然后，他們使用網絡釣魚電子郵件、Telegram 和 WhatsApp 等消息應用程序或 Instagram 本身來聯系潛在受害者。為此，他們要么創(chuàng)建新帳戶，要么重復使用被盜帳戶。他們最初的信息并沒有通過姓名來稱呼帳戶所有者。相反，郵件以通用的問候語開頭，這是騙局的跡象之一。

黑客發(fā)給目標賬戶所有者的信息

就像研究人員過去觀察到的那樣，黑客的信息內容要么聲稱帳戶所有者侵犯了版權，要么聲稱他們可以提供經過驗證的徽章。根據黑客的消息，如果用戶不通過在黑客在消息中包含鏈接的網頁中輸入其信息來驗證其帳戶，則該帳戶將被刪除。該鏈接指向一個模仿官方 Instagram 用戶界面的釣魚網站。

一個聲稱目標帳戶所有者侵犯版權的釣魚頁面

在釣魚頁面中選擇 " 下一步 " 后，用戶會被要求輸入問題帳戶的用戶名。值得注意的是，該釣魚網站并不驗證用戶名是否確實屬于一個有效的 Instagram 賬戶。

請求目標帳戶所有者的用戶名的釣魚頁面

然后要求用戶輸入 Instagram 帳戶的密碼、與該帳戶關聯的電子郵件地址以及電子郵件地址的密碼。同樣，釣魚網站甚至接受無效和不正確的憑據。" 繼續(xù)使用 Facebook" 按鈕也不起作用。

請求目標帳戶所有者的密碼、電子郵件地址和電子郵件密碼的釣魚頁面

用戶選擇 "Continue As" 后，網站會顯示一個確認頁面。該頁面還指示用戶不要更改其帳戶信息，表面上是為了給黑客足夠的時間撤回版權侵權索賠。但實際上這條消息是由黑客包含的，以便他們可以花足夠的時間使用用戶提供的憑據登錄帳戶。

目標帳戶所有者輸入請求的憑據后顯示確認消息的網絡釣魚頁面

在確認頁面中選擇 " 繼續(xù) " 會導致實際 Instagram 支持網站上的版權部分，黑客將其包含在網絡釣魚網站中，據說是為了給他們的計劃提供一些可信度。

真正的 Instagram 支持網站上關于版權的部分，就是這個釣魚網站的確認頁面

如果用戶無意中交出了他們的真實憑據，攻擊者就會繼續(xù)更改帳戶的密碼，從而使原始所有者無法訪問該帳戶。然后他們通過手動或通過 Instagram 的數據備份功能下載所有圖像和消息來挖掘帳戶。黑客甚至可能修改帳戶簡介，通過故事功能分享內容，或聯系受害者的聯系人。

與此同時，黑客開始與受害者談判。他們通常操作被入侵的賬戶，而受害者則使用不同的賬戶與他們交談。然后，他們要求以比特幣、預付信用卡或代金券的形式支付，以換取恢復訪問。根據在一些與此次活動相關的比特幣錢包中發(fā)現的活動，似乎有些目標可能已經付了錢。

然而，談判只是一個詭計。他們這樣做的目的是讓受害者不會被迫通過適當的渠道報告事件，而且他們可以爭取一些時間，因為從該賬戶下載所有數據可能需要兩天時間。受害者付錢后，黑客不會歸還賬戶。相反，他們會要求更多的贖金。

在許多情況下，一個攻擊者會同時手動破壞多個帳戶。在某些情況下，屬于一個組的每個攻擊者在活動中都有指定的角色，例如黑客的操作者、收款人或監(jiān)督操作的領導者。

在黑客選擇保留的被盜賬戶中，至少有 5 萬名粉絲的賬戶被用來保持詐騙活動。

一些黑客還在地下網絡犯罪中出售他們的黑客技術。

攻擊者如何通過提供經過驗證的徽章的承諾來引誘潛在受害者

在另一個版本的騙局中，黑客使用偽造的 Instagram 驗證徽章申請表作為誘餌。驗證徽章是一個藍色復選標記，出現在 Instagram 上大多數影響力的人、名人、品牌、公司和其他受歡迎的實體的賬戶名稱，徽章顯示 Instagram 已驗證帳戶所有者的身份和合法性。

Instagram 官方賬號上的驗證徽章

為了誘騙潛在的受害者，黑客偽裝成 Instagram（在其母公司 Facebook 旗下）的工作人員，并通過一條消息聯系目標帳戶所有者，不出所料，該消息并未按帳戶所有者的姓名尋址，而是以一般的問候。該消息聲稱帳戶所有者可以通過填寫申請表來申請 " 藍色徽章 "（驗證徽章），該申請表可以通過 URL 訪問。

這是一條黑客發(fā)來的信息，據稱它為目標賬戶所有者提供了申請認證徽章的機會

該 URL 指向一個請求潛在受害者用戶名的頁面，與之前討論的方案一樣，這里的頁面也不會驗證用戶名是否來自實際的 Instagram 帳戶。

請求目標帳戶所有者用戶名的釣魚頁面

在頁面上選擇 " 下一步 " 會轉到另一個請求用戶密碼的頁面，這應該是將用戶登錄到他們自己的帳戶中。然而，這實際上并沒有發(fā)生，該頁面的目的只是為了獲取用戶的密碼。該頁面同樣不會驗證密碼是否有效。

請求目標帳戶所有者密碼的釣魚頁面

選擇 " 登錄 " 會出現一個 " 藍色徽章表格 "，要求提供用戶的全名、電子郵件地址和電話號碼。該表格還顯示了之前輸入的用戶名。

請求目標帳戶所有者的全名、電子郵件地址和密碼的網絡釣魚頁面

選擇 " 發(fā)送 " 會轉到一個頁面，該頁面應該向用戶確認他們的已驗證徽章申請已提交。

一個虛假的確認頁面，用于目標帳戶所有者的驗證徽章的假定應用程序

就像前面討論的方案一樣，選擇 " 確定 " 會導致實際 Instagram 支持網站上的版權部分。

有趣的是，在通過 VirusTotal 調查網絡釣魚 URL 后，研究人員發(fā)現用于該計劃的 IP 地址還鏈接到一個明顯與 Covid-19 騙局有關的 URL。

與此方案鏈接的 IP 地址相關的 URL

攻擊者如何濫用被黑的 Instagram 帳戶

黑客可以通過多種方式利用被盜帳戶，包括：

1. 要求支付款項以換取賬戶恢復，如前所述，黑客可以要求付款，之后他們會將賬戶交還給所有者；

2. 欺騙受害者的聯系人，黑客可以冒充受害者的身份并聯系受害者的聯系人以發(fā)送網絡釣魚鏈接或直接盜取資金錢；

3. 在非法市場上出售賬戶，有興趣的買家可以購買該賬戶來宣傳他們自己的騙局或推動他們的宣傳；

4. 使用該帳戶進行操作，黑客可以將帳戶名稱更改為類似于 Instagram 技術支持的名稱，并利用其龐大的粉絲來傳達可信度；

5. 盜取帳戶所有者額不雅照片或視頻，然后進行勒索、出售或釣魚；

6. 把賬號當成戰(zhàn)利品，黑客可以簡單地使用該帳戶作為他們成功的證明。

如何保證賬戶安全

1. 建議用戶設置雙因素或多因素身份驗證。啟用此功能后，即使擁有密碼，黑客也無法訪問帳戶。

2. 建議用戶永遠不要打開來自陌生來源的電子郵件和消息中的鏈接，因為這些鏈接可能會導致網絡釣魚網站。

3. 用戶可以查看受影響的服務或網站的官方支持頁面以獲取更多信息，以防帳戶被黑客入侵或停用。