IG用户注意：侵权警告信件可能是网络钓鱼攻击

安全企业Sophos本周警告，黑客锁定Instagram（IG）用户展开网络钓鱼攻击，发送假冒为IG的侵权警告通知信件，实则为了骗取IG用户的登录凭证。

研究人员表示，许多人都会在IG上发布图片或图片等各式内容，难免会在不经意中侵犯著作权，于是黑客便趁机展开攻击，通过电子邮件发送伪装成IG的侵权警告通知，威胁将在24小时内关闭用户的IG账号，除非用户提出异议。

因此邮件中就列出了一个“著作权异议格式”（Copyright Objection Form）的连接，用户点击该连接之后，就会被导向一个假冒的IG网页，以让用户提出上诉。

就像传统的移动设备网络钓鱼活动一样，这个IG网络钓鱼网页的网址列上的确写着“https://instagram.copyrightinfor……..”，后面则因为移动设备的屏幕尺寸限制而未能完整显示，因此用户也看不见它所使用的顶级域名名称为奇怪的.cf。只要一按下上诉（Appeal）键，便会要求用户输入IG账号与密码，用户凭证即会被发送到黑客所控制的服务器。

Sophos指出，IG凭证对黑客的价值在于登录后能够披露更多与用户有关的信息，还可以诈骗用户的亲友，因此，假设IG用户被黑了，那么其亲友也会暴露在安全风险中。

事实上，IG在发现用户所发布的内容侵犯著作权时，并不会先行警告用户，而是径自将内容移除，之后才会通知用户，且会在邮件提供举报报告的内容，以及所侵权内容的所有权人身份。

研究人员也提出了几项建议供用户参考，以免落入网络钓鱼陷阱。例如在Sophos所取得的网络钓鱼信件中，有许多拼字或文法上的错误；在网址太长而无法一次审查时，多花一些力气审查完整的网址；使用密码管理工具可避免在陌生的域名上输入凭证；以及千万不要通过电子邮件的连接输入凭证。