Instagram用户小心！新钓鱼攻击伪造超逼真的「假官网」

Instagram 用户要注意！新一波的网路钓鱼攻击正锁定Instagram 平台，会寄送安全码伪装，就连假官网都做得非常逼真！要如何防范、识破这些伎俩？以下报导告诉你！

据英国安全软体公司《Sophos》释出最新报告，揭露新型的Instagram 网路钓鱼攻击。首先，对方会先寄一封类似于官方的电子邮件，警告用户帐号被不明人士登入，要求透过邮件内的连结确认，他们还会很奸诈地附上一组安全码，模拟常见的2FA 身份验证，借此增加可信度。

邮件从里到外，不太容易常觉异样，从《Sophos》所提供的截图来看，除了部分字体前面少了半形空格，或是标点符号错误以外，从整体的风格、图片、讯息资讯，钓鱼邮件确实与官方信件有些类似。

点击连结后，会进入假Instagram 官网，外观几乎一模一样，甚至还获得HTTPS 的凭证，网站会显示绿色的安全颜色，甚至连网址名称都是一样的！唯一能抓到露馅的地方是网址。正版Instagram 注册的是「.com」，但诈骗集团为了取用合法、有HTTPS 凭证的网站，会转向购买非洲较为便宜的网域，例如本次报告的假官网就是以「.cf」（中非）做结尾。

一旦用户没有发现异状，完成登入步骤，帐号、密码就会流入他人手中，诈骗集团得以运用你的帐号作为人头，去攻击、诈骗亲朋好友，造成第二波危害。

该如何避免上钩呢？《Sophos》提出三个建议，首先，避免使用电子邮件内的登入超连结，多花一个步骤使用App、Chrome 浏览器登入。第二，则是检查网址位置，查看是否少一个字，或是在大小写、网域上有诈。最后则是善用官方的检查功能，多半的社群网站都有提供登入历程查询，不要依赖任何连结。