许多人所致对个人和商业目地采用 Facebook、Twitter 和 Instagram 等SNS中文网站，仅 Instagram 每星期就有少于 10 亿使用者，约占当今世界现阶段人口数的分而众所周知。

在责任编辑中，科学研究相关人员研究了由对个人普通使用者或骇客组织机构发动的另几项 Instagram 账号骇客公益活动。为的是赢得最小的负面影响，该公益活动另一面的骇客会将最终目标放到SNS新闻媒体上有声望的人，此种商业模式在往后的公益活动中也再次出现过。有声望的人早已累积了数以千计的影迷，

01.

普通使用者怎样补齐 Instagram 账号

户。即使她们会扮作普通使用者的好友。

接着，她们采用互联网钓邮件、Telegram 和 WhatsApp 等最新消息插件或 Instagram 这类来联络潜在性被害者。有鉴于此，她们或者建立新账号，或者重复采用失窃账号。她们起初的重要信息并没透过联络电话来称谓账号拥有者。

骇客发送给最终目标帐户拥有者的重要信息

就像科学研究相关人员往后检视到的那般，骇客的网页内容或者宣称账号拥有者侵犯了版权，或者宣称她们可以提供经过验证的徽章。根据骇客的最新消息，如果使用者不透过在骇客在最新消息中包含链接的网页中输入其重要信息来验证其账号，则该账号将被删除。该链接指向一个模仿官方 Instagram 使用者界面的钓中文网站。

一个宣称最终目标账号拥有者侵犯版权的钓页面

在钓页面中选择“下一步”后，使用者会被要求输入问题账号的使用者名。值得注意的是，该钓中文网站并不验证使用者名是否确实属于一个有效的Instagram帐户。

请求最终目标账号拥有者的使用者名的钓页面

接着要求使用者输入 Instagram 账号的密码、与该账号关联的邮件地址以及邮件地址的密码。同样，钓中文网站即使接受无效和不正确的凭据。“继续采用 Facebook”按钮也不起作用。

请求最终目标账号拥有者的密码、邮件地址和邮件密码的钓页面

使用者选择“Continue As”后，中文网站会显示一个确认页面。该页面还指示使用者不要更改其账号重要信息，表面上是为的是给骇客足够的时间撤回版权侵权索赔。但实际上这条最新消息是由骇客包含的，以便她们可以花足够的时间采用使用者提供的凭据登录账号。

最终目标账号拥有者输入请求的凭据后显示确认最新消息的互联网钓页面

在确认页面中选择“继续”会导致实际 Instagram 支持中文网站上的版权部分，骇客将其包含在互联网钓中文网站中，据说是为的是给她们的计划提供一些可信度。

真正的Instagram支持中文网站上关于版权的部分，就是这个钓中文网站的确认页面

如果用户无意中交出了她们的真实凭据，普通使用者就会继续更改账号的密码，从而使原始拥有者无法访问该账号。接着她们透过手动或透过 Instagram 的数据备份功能浏览所有图像和最新消息来挖掘账号。骇客即使可能修改账号简介，透过故事功能分享内容，或联络被害者的联络人。

与此同时，骇客开始与被害者谈判。她们通常操作被入侵的帐户，而被害者则采用不同的帐户与她们交谈。接着，她们要求以比特币、预付信用卡或代金券的形式支付，以换取恢复访问。根据在一些与此次公益活动相关的比特币钱包中发现的公益活动，似乎有些最终目标可能早已付了钱。

然而，谈判只是一个诡计。她们这样做的目地是让被害者不会被迫透过适当的渠道报告事件，而且她们可以争取一些时间，因为从该帐户浏览所有数据可能需要两天时间。被害者付钱后，骇客不会归还帐户。相反，她们会要求更多的赎金。

在许多情况下，一个普通使用者会同时手动破坏多个账号。在某些情况下，属于一个组的每个普通使用者在公益活动中都有指定的角色，例如骇客的操作者、收款人或监督操作的领导者。

02.普通使用者怎样透过提供经过验证的徽章的承诺来引诱潜在性被害者

公司和其他受欢迎的实体的帐户名称，徽章显示 Instagram 已验证账号拥有者的身份和合法性。

Instagram 官方账号上的验证徽章

Facebook 旗下）的工作相关人员，并透过一条最新消息联络最终目标账号拥有者，不出所料，该最新消息并未按账号拥有者的联络电话寻址，而是以一般的问候。该最新消息宣称账号拥有者可以透过填写申请表来申请“蓝色徽章”（验证徽章），该申请表可以透过 URL 访问。

这是一条骇客发来的重要信息，据称它为最终目标帐户拥有者提供了申请认证徽章的机会

该 URL 指向一个请求潜在性被害者使用者名的页面，与之前讨论的方案一样，这里的页面也不会验证使用者名是否来自实际的 Instagram 账号。

请求最终目标账号拥有者使用者名的钓页面

在页面上选择“下一步”会转到另一个请求使用者密码的页面，这应该是将使用者登录到她们自己的账号中。然而，这实际上并没发生，该页面的目地只是为的是获取使用者的密码。该页面同样不会验证密码是否有效。

请求最终目标账号拥有者密码的钓页面

选择“登录”会再次出现一个“蓝色徽章表格”，要求提供使用者的全名、邮件地址和电话号码。该表格还显示了之前输入的使用者名。

请求最终目标账号拥有者的全名、邮件地址和密码的互联网钓页面

选择“发送”会转到一个页面，该页面应该向使用者确认她们的已验证徽章申请已提交。

一个虚假的确认页面，用于最终目标账号拥有者的验证徽章的假定插件

就像前面讨论的方案一样，选择“确定”会导致实际 Instagram 支持中文网站上的版权部分。

有趣的是，在透过 VirusTotal 调查互联网钓 URL 后，科学研究相关人员发现用于该计划的 IP 地址

与此方案链接的IP地址相关的URL

03.普通使用者怎样滥用被黑的 Instagram 账号

骇客可以透过多种方式利用失窃账号，包括：

1.要求支付款项以换取帐户恢复，如前所述，骇客可以要求付款，之后她们会将帐户交还给拥有者；

3.在非法市场上出售账

4.采用该账号进行操作，骇客可以将账号名称更改为类似于 Instagram 技术支持的名称，并利用其庞大的影迷来传达可信度；

5.盗取账号拥有者额不雅照片或视频，接着进行勒索、出售或钓；

6.把账号当成战利品，骇客可以简单地采用该账号作为她们成功的证明。

04.怎样保证帐户安全

1.建议使用者设置双因素或多因素身份验证。启用此功能后，即使拥有密码，骇客也无法访问账号。

2.建议使用者永远不要打开来自陌生来源的邮件和最新消息中的链接，因为这些链接可能会导致互联网钓中文网站。

3.使用者可以查看受负面影响的服务或中文网站的官方支持页面以获取更多重要信息，以防账号被骇客入侵或停用。