揭秘Instagram上利用隱私進行盜號和敲詐的土耳其黑客團伙

新聞 03-04

社交平台的博主們通過營造自身的品牌形象來獲取更多粉絲的關注，對於黑客來說，他們苦心經營的形象也能被視為商品對待，通過盜取賬號/個人信息來飽其私囊。近日，一名Instagram平台上粉絲超過1.5萬名的攝影師就遭遇了此類狀況。

對該事件的進一步調查顯示，黑客是通過網路釣魚黑進她的賬戶的。雖然聽起來似乎很簡單，但我們也發現，針對Instagram上「網紅」們的攻擊，已經成為了某個土耳其語黑客群體的慣用手法，並且黑客們通過濫用Instagram的賬戶恢復程序，讓受害者們即使按正常的申訴流程也要不回自己的賬戶。我們在研究時就曾看到過這樣的案例：一些在Instagram上粉絲數在1.5萬至7萬之間的博主們，其個人資料遭到了黑客攻擊，且再也未能找回，受害者包括著名演員、歌手，以及初創公司的老闆等。

該團伙還從事數字勒索業務。一旦受害者試圖與黑客取得聯繫，就會被要求支付贖金或裸照視頻來贖回賬戶。當然，你即使真的打了錢或是發了裸照，結果往往也可能是「財色兩空」。事實上，這種針對有影響力的社交媒體博主們的攻擊，也完全符合我們之前對今年威脅形勢的預測。

圖1.黑客盜取Instagram個人資料的流程圖

攻擊鏈

對釣魚工具包的分析顯示，其主機系統會阻止來自wget的請求。我們通過欺騙用戶代理成功的獲得了釣魚工具。

攻擊過程始於一封假裝來自Instagram的釣魚郵件，內容是促使用戶驗證賬戶，進而用戶就能獲得Instagram一枚藍色的認證徽章。但需要注意的是，Instagram從來只有在用戶申請之後才會進行認證，且不會向用戶索要憑證。

圖2.要求用戶驗證Instagram賬號的釣魚郵件截圖

圖3.用戶被重定向到的釣魚頁面(左)；另一個請求用戶憑證的電子郵件的頁面(中);在鍵入憑證並提交之後，用戶將被重定向到「信息已驗證」的頁面(右)

一旦用戶單擊「驗證帳戶」按鈕，將被重定向到一個釣魚頁面，要求填寫生日、郵件地址和憑據。當我們第一次看到這些頁面時，它們在輸入上沒有任何數據驗證，即使提交了一個空表單，也會返回相同的頁面。但是，該團體後來添加了基本數據驗證，不允許用戶提交空表單。

一旦攻擊者可以訪問受害者的Instagram個人資料和與該賬戶相關的電子郵件，就可以修改要回賬戶所需的信息。受害者還會被提示輸入電子郵件憑證，提交後會出現一個持續4秒的通知，讓用戶覺得他們的賬號已得到驗證。之後釣魚頁面將轉到Instagram網站上，這是網路釣魚常用的策略——很可能受害者已經用cookie登錄了，所以會跳轉到其登錄後的個人主頁，讓用戶覺得此次「驗證」是有效的。而因為我們是在一個乾淨的環境下測試釣魚工具的，所以只有Instagram的登錄頁面。

黑客的手段

我們進一步調查了這些案件，以了解黑客的動機以及運作方式。在他們黑掉的Instagram個人資料中，他們把用戶名改為了「natron_raze」，可能是為了提示用戶賬號被黑。與個人資料相關的電子郵件也會立刻被修改。之後，賬戶的郵箱會被再次更改，方法是向受害者發送大量Instagram安全郵件，詢問這些修改是否合法。黑客還會試圖通過毀損個人資料來吸引用戶的注意。