何謂社群媒體網路釣魚?

所謂社群媒體網路釣魚,是指經由 Instagram、LinkedIn、Facebook、Twitter 之類的社群媒體平台發動的網路釣魚攻擊,這類攻擊的目的是要竊取個人資料或掌控您的社群媒體帳號。

今日,社群媒體已經像我們所呼吸的空氣一樣無所不在。人們使用 Facebook、Instagram、Twitter 以及各種其他平台來和親朋好友保持聯繫、掌握最新資訊、約會交友,以及掌握世界脈動。

企業也會用社群媒體來讓客戶知道他們的最新產品和活動、從事行銷、吸引新業務等等。也因此,使得社群媒體變成一個吸引駭客發動網路釣魚攻擊的平台。而網路上的一些工具 (如 Hidden Eye 或 ShellPhish) 更是讓發動網路釣魚攻擊變得就像執行應用程式一樣簡單。

駭客所蒐集的資訊包括:您的社群媒體帳號登入憑證、信用卡資訊,以及可用於發動其他詐騙和攻擊的個人資訊。

Instagram 網路釣魚

Instagram 是一個熱門的照片與文字分享平台。全世界的 Instagram 用戶都將這個平台當成一種影音日記來分享自己每天的生活與重要時刻。

駭客在 Instagram 上發動網路釣魚時,首先會製作一個假的 Instagram 登入頁面。為了取信於您,這個頁面會盡量做得跟真的網站一模一樣。只要您在這個假的登入頁面上輸入了您的使用者 ID 跟密碼,駭客就會拿到您的登入憑證。您接下來通常會被導向真正的 Instagram 登入頁面來進行認證,但傷害卻已經造成。駭客拿到您的 Instagram 登入憑證之後,就能完全掌控您的帳號。

更糟的是,如果您也在其他社群媒體網站 (甚至是網路銀行) 上使用了相同的帳號跟密碼,那麼駭客也同樣可以登入那些帳號。

駭客一旦能進入您的 Instagram 帳號,他們就能監視您。而且他們還可以假冒您,向您的好友或追蹤者索取個人資訊。當然,駭客在做這些事情時一定會刪除那些詐騙訊息,不會留下痕跡。

駭客如果做得更絕,他們甚至會徹底占有您的 Instagram 帳號。他們會變更您的個人資訊、偏好設定,甚至您的密碼,如此一來您就完全進不了自己的帳號。

LinkedIn 網路釣魚

LinkedIn 是全世界用戶最多的專業人士社群網路平台。駭客會試圖發送電子郵件、LinkedIn 訊息及連結來誘騙您洩漏機敏資訊、信用卡資料、個人資訊以及登入憑證。駭客可進入您的 LinkedIn 帳號來假扮成您,然後發送網路釣魚訊息到您的人脈當中來蒐集個人資訊。

此外,駭客也會發送看似來自 LinkedIn 官方的電子郵件。這是因為 LinkedIn 的官方網站擁有好幾個合法的電子郵件網域,例如:「linkedin@e.linkedin.com」與「linkedin@el.linkedin.com」。使用者很難記住這些網域,因此就不容易分辨駭客使用的冒牌網域。

Facebook 網路釣魚

Facebook 創立於 2000 年代,全球擁有超過 29 億活躍用戶,是今日所有社群媒體平台的霸主。在它之前還有一些其他的社群網站,如 Friendster 和 MySpace,但 Facebook 卻為人們與親朋好友之間以及企業與客戶之間的互動模式樹立了標竿。

Facebook 網路釣魚攻擊通常是透過一個要求您提供或確認個人資訊的訊息或連結。發送方式則是經由 Facebook 貼文或 Facebook Messenger 平台,使用者通常很難判斷這樣的訊息是來自好友的正常訊息還是網路釣魚訊息。

經由 Facebook 網路釣魚蒐集到的資訊,可以讓駭客取得進入您 Facebook 帳號的資料。您可能會收到一則訊息說您的 Facebook 帳號出現問題,您必須登入帳號來解決問題。

這類訊息都會提供一個方便的連結讓您直接點選,一點進去就會連上一個看起來很像 Facebook 的網站,您一旦連上這個冒牌網站,就會被要求登入自己的帳號。接下來,駭客就能蒐集您的登入憑證。請特別留意您前往的網址是什麼,務必確定您是被帶到「www.facebook.com」。任何其他看似很像的網址都是假的。

Twitter 網路釣魚

Facebook 的定位是您和親朋好友保持聯繫的管道,LinkedIn 是您工作上開拓人脈的好幫手,而 Twitter 則是您和世界上從未謀面的陌生人互動的工具。正因為 Twitter 的使用者非常習慣和陌生人互動,使得 Twitter 變成一個網路釣魚非常盛行的平台。

駭客在 Twitter 上所用的手法和技巧,與在其他社群媒體平台無異。駭客會假冒 Twitter 名義發送詐騙訊息,這些訊息是為了誘騙您提供一些機敏資訊,例如:登入憑證、個人資訊,甚至信用卡資料。Twitter 已明確表明,他們發送給用戶的電子郵件只會來自以下兩個網域:「@twitter.com」或「@e.twitter.com」。

這類網路釣魚攻擊還會進一步帶來其他相關攻擊,例如「購買追蹤者」詐騙。當遇到這種詐騙時,您會收到來自駭客的訊息宣稱您可以超低優惠的 5 美元價格買到某個數量的追蹤者。您一旦提供了個人資訊和信用卡卡號,駭客就有可能從您的帳戶中扣款,或登入您的 Twitter 帳號,然後再利用您的追蹤者名單繼續詐騙下去。

相關文章

相關研究