研究人員透露，最近的一場網絡釣魚活動以Instagram技術支持為誘餌，意圖竊取總部位于紐約的一家知名美國人壽保險公司的員工的登錄憑證。

根據Armorblox周三發布的一份報告，這次攻擊將品牌冒充與社會工程攻擊相結合，并通過使用一個有效的域名設法繞過了谷歌的電子郵件安全，最終拿到了數百名員工的郵箱。

詐騙所用的網站與Instagram完全相同

網絡攻擊從一封簡單的電子郵件開始。它偽裝成是來自Instagram技術支持團隊的告警，表示收件人的賬戶正面臨著被停用的風險。根據分析，這樣說的目的是為了創造一種緊迫感，同時使受害者提高對發件人的信任度。

電子郵件的內容這樣寫到，你已經被警告了，因為你的賬號中分享了虛假的內容。你必須驗證你的賬號資格。如果你不能在24小時內完成驗證，那么你的會員資格將會從我們的服務器中永久刪除。 這條信息營造了一種緊迫感，誘使那些毫無戒心的用戶點擊一個惡意的賬戶驗證鏈接。最終用戶會被引誘到一個登錄頁面上，他們會被要求提交他們的Instagram賬戶登錄信息。當然，這些信息會被直接傳給惡意攻擊者，而被害人自己并不知情。

研究人員指出，這些步驟中任何一點對普通終端用戶來說都沒有任何惡意，而且在每個過程中，從電子郵件到賬戶驗證表，都含有Meta和Instagram的品牌和標志。

攻擊者在攻擊的過程中必然會留下線索。他們在釣魚郵件的正文中犯了語法、拼寫和大小寫等相關錯誤。在發件人欄中，"Instagram支持"中的 "I "實際上是 "L"。而電子郵件域名本身是membershipform@outlook.com.tr，這顯然不是來自于Instagram。

不過，域名本身是完全合法的，這也就可以使它繞過傳統的垃圾郵件過濾器。而且，研究人員解釋說，發件人還精心設計了一個很長的電子郵件地址，這意味著許多移動用戶只會看到'@'符號之前的字符，在這種情況下'membershipform'就是一個不會引起懷疑的字符。

如何保護自己的信息安全

就在幾周前，網絡攻擊者通過冒充DocuSign公司的電子簽名軟件，從一家美國支付解決方案公司竊取了微軟的賬戶憑證。在那個案例中，也是由于攻擊者巧妙地利用了品牌冒充、社會工程和能夠繞過傳統安全措施的有效電子郵件域名，從而導致了數百名員工的信息被泄露。

也許這兩個活動被發現并已經被阻止了，但下一個攻擊活動呢?或者之后的那個?還有哪些其他沒有被安全團隊成功識別，以至于我們沒有聽說過的攻擊活動呢?

Armorblox在報告中提出了員工可以關注的四個主要領域，可以保護自己免受網絡釣魚的侵害。

• 避免打開你所不熟悉的電子郵件
• 加強原生電子郵件的安全性，阻止社會工程學的攻擊
• 注意有針對性的攻擊
• 遵循多因素認證和密碼管理的原則

KnowBe4的研究人員通過電子郵件寫道，為了防止這些攻擊，員工應該接受安全教育，了解他們的電子郵件賬戶的價值。此外，員工還需要了解到使用重復密碼的危險性，使用強健的密碼來保護個人和組織內的賬戶。

即使是一個員工的失誤也會給整個組織帶來嚴重的問題，然后是供應鏈上的其他組織。Armorblox研究人員寫道，在使用商業憑證登錄多個應用程序時要謹慎，特別是在那些個人使用的社交應用程序中。這種行為可能看起來很方便，但是，只需要一次，你的敏感的個人信息和商業數據就會有被泄露的風險。

本文翻譯自：https://threatpost.com/phony-instagram-support-staff-emails-hit-insurance-company/178929/如若轉載，請注明原文地址。