社交媒體釣魚是透過在 Instagram、LinkedIn、Facebook 或 Twitter 等社交平台進行的攻擊,其目的為竊取個人資料或取得社交媒體帳號的控制。
社交媒體已變得像空氣一樣無處不在,很多人都會使用 Facebook、Instagram、Twitter 及其他平台來維持與朋友及家庭的聯繫、瞭解新聞、約會及與世界聯繫。
商界也會利用社交媒體作市務推廣及開發業務,包括通知客戶最新的產品、優惠及活動。而這亦令社交媒體成為吸引黑客的平台。使用像 Hidden Eye 及 ShellPhish 這樣的工具令釣魚攻擊變得更簡易,只要運行程式就可以進行攻擊。
黑客搜集的包括社交媒體帳號登入資訊、信用卡資料及其他可用作發動詐騙與攻擊的個人資料。
Instagram 是一個流行的照片及文字分享平台,其分佈全球的用戶都會使用此平台以短片日記形式分享每日的活動及生活點滴。
Instagram 釣魚攻擊開始於黑客建立了一個假的 Instagram 登入版面,而這個偽冒版面的像真度極高。當用戶在偽冒版面輸入 Instagram 用戶帳號及密碼之後,黑客就會取得您的登入資訊,然後用戶通常會被轉接至真正的 Instagram 登入版面以作認證,但其資料已經被盜。攻擊者可以利用這些 Instagram 資料來登入受害者的帳戶。
更危險的是,假如該用戶的其他社交媒體帳號都使用同一登入名稱及密碼,攻擊者亦可以登入這些帳號。而最差的情況就是用戶連銀行戶口也是使用相同的登入資訊。
當黑客取得 Instagram 的登入權限,就可以時刻監視用戶的行動,更可以扮成原本的用戶要求朋友及追蹤者提供個人資料。而黑客之後會刪除所有欺騙性的訊息來掩飾行蹤。
再進一步,攻擊者更可完全接管受害者的 Instagram 戶口。歹徒可以更改戶口的個人資料、喜好甚至密碼,將受害者完全封鎖在戶口之外。
LinkedIn 是全球最被廣泛使用的專業人士網絡平台。黑客會發出電郵、LinkedIn 訊息及連結以誘使受害者洩露敏感資訊、信用卡資料、個人資料及登入憑證,黑客會入侵您的 LinkedIn 帳號,假裝是您向您的聯絡人發出訊息,以收集他們的個人資料。
黑客亦可以發出看來像直接從 LinkedIn 發出的電郵。因為正式的 LinkedIn 網站亦擁有多個合法的電郵域名,包括 linkedin@e.linkedin.com 及 linkedin@el.linkedin.com 等。而用戶亦很難識別真實與攻擊者使用的虛假域名。
在 2000 年代初推出的 Facebook 現時在全球已有超過 29 億活躍用戶,是所有社交媒體的皇者。雖然其後有其他媒體如 Friendster 及 MySpace 等出現,但 Facebook 已訂立了朋友、家人及客戶如何與朋友或業務聯繫的標準。
典型的 Facebook 釣魚攻擊通過發出訊息或連結要求受害者提供或確認個人資料來進行,這行動一般經由 Facebook 貼文或 Facebook Messenger 平台進行,通常都很難決定是來自可能的朋友還是釣魚攻擊。
透過 Facebook 進行的釣魚嘗試讓攻擊者拿到登入您的 Facebook 帳號所需的資料。您可能會收到訊息指出您的 Facebook 戶口出現問題,需要登入來修正問題。
這訊息會包含一個指向像真 Facebook 網站的連結,當您進入此網站後就會被要求登入,而黑客也在此刻收穫您的資料。所以您必須小心確保登入的網址是連結至 www.facebook.com,而其他網址全部都是假的。
Facebook 被廣泛視為與朋友及家人聯繫的模式,而 LinkedIn 則確立了是專業人士聯繫的平台,Twitter 可以讓您可以與您從未在現實生活中遇見的人互動。而這個隨意與陌生人互動的環境也令 Twitter 成為受歡迎的釣魚攻擊平台。
黑客會採用針對其他社交媒體的同樣釣魚手法和技術來進行 Twitter 攻擊。歹徒會發出聲稱來自 Twitter 的假訊息,以誘騙用戶提供敏感資訊,如登入資料、個人資料以至信用卡資料。Twitter 已表明只會透過兩個電郵域名:@twitter.com 或 @e.twitter.com 發出電郵予用戶。
這些釣魚攻擊會引申至其他攻擊,包括「付費追隨者」攻擊。在這個釣魚攻擊中,您會收到黑客聲稱可以增加您的追隨者的訊息,而代價會低至五美元。當您提供個人及信用卡資料後,黑客就可以不斷從您的帳戶提款,甚至登入您的 Twitter 帳戶繼續欺騙您的追隨者。