모든 Instagram 사용자를 위협하는 새로운 피싱 공격

피싱 공격은 다른 사람이 알지 못하는 사이에 누군가의 자격 증명을 얻는 일반적인 방법입니다. 모르는 경우 피싱 공격은 공격자가 웹사이트의 유사 페이지를 사용하여 피해자가 실제 웹사이트에서 입력하는 것으로 생각하여 자격 증명을 입력하도록 속이는 것을 포함합니다.

그러나 새로운 공격은 약간 복잡하며 2FA를 사용하여 피해자의 계정에 액세스합니다. 공격은 보안 연구원에 의해 처음 발견되었습니다. 소포스 (Sophos) (를 통해 포브스). 연구원들은 해커가 2FA 페이지를 사용하여 사용자가 무단 로그인이 있다고 믿게 만들고 신원 확인을 위해 로그인해야 한다고 경고했습니다. 이메일은 분명히 가짜이지만 무서운 측면은 페이지가 실제 Instagram 로그인 페이지와 얼마나 유사한지입니다. Sophos의 팀은 "우리는 그것을 인정하고 싶지 않지만 사기꾼들은 이것을 통해 생각했습니다"라고 말했습니다. 이를 더욱 설득력 있게 만드는 것은 추가된 SSL입니다. 해커는 HTTPS와 녹색 자물쇠를 추가하여 사용자가 실제 Instagram 웹사이트에 있음을 확인하는 웹사이트용 SSL 인증서를 획득했습니다.

피싱 페이지 자체는 완벽하게 믿을 수 있는 실제 팩스이며 유효한 HTTPS 인증서와 함께 제공됩니다.

자물쇠가 없는 사이트는 확실히 신뢰할 수 없습니다. 그러나 자물쇠가 있고 철자가 올바른 이메일로 광고되었다는 이유만으로 사이트를 자동으로 신뢰할 수는 없습니다.

-소포스

Sophos 팀은 또한 사용자를 위한 훌륭한 조언을 발표했습니다. 소셜 미디어에 액세스해야 하는 이메일을 받은 경우 이메일의 링크를 따라가지 마십시오. 대신 웹사이트에 정상적으로 로그인한 다음 이메일의 단계에 따라 문제를 해결하세요. 이렇게 하면 실수로 자격 증명을 피싱 웹 사이트에 입력하지 않도록 할 수 있습니다.

또한 항상 도메인을 확인하십시오. 녹색 자물쇠는 쉽게 얻을 수 있으므로 그냥 바라보지 마십시오. 실제 웹사이트를 찾아보고 의심스럽다면 아마도 그럴 것입니다. Facebook 및 Instagram과 같은 대부분의 회사는 최상위 도메인(.com)을 사용합니다. 이것은 다른 도메인을 사용하게 될 피싱 웹사이트를 식별하는 데 도움이 됩니다. 예를 들어, 여기에서 해커는 중앙 아프리카 공화국의 등록에 할당된 도메인인 ".cf"를 사용하고 있습니다. 저렴하고 쉽게 구할 수 있으므로 해커에게는 완벽한 사용 사례이며 사용자에게는 큰 위험 신호입니다.

그렇다면 이러한 공격으로부터 자신을 보호하는 방법은 무엇입니까? 간단한 대답은 상식을 사용하는 것입니다. 앱이나 Instagram 또는 Facebook에서 예기치 않은 이메일을 받은 경우 올바른 웹사이트로 이동하고 있는지 확인하십시오. 앱이 정말로 사용자의 관심을 원하면 이메일에 있는 링크를 따라가든 안 따라가든 자동으로 필요한 위치로 이동합니다. 의심스러울 때는 약간의 조사를 하십시오. Who.is는 도메인 소유자를 확인할 수 있는 좋은 장소이며 무엇보다도 좋아하는 게임에서 XNUMX억 달러 또는 XNUMX천 코인을 주기 위해 줄을 서서 기다리는 사람이 없다는 것을 기억하십시오. 항상 상식을 사용하십시오. 그것이 사실이라고 하기에는 너무 좋다면 아마도 그럴 것입니다.