當名氣博主的Instagram帳號被入侵,再利用Deepfake對follower進行詐騙,有熟識的面孔和聲音在Story聲稱送出12萬5千元,條件只是參加她的計劃,其實是被更換SIM卡的方法盜竊了帳號。
接近天衣無縫的詐騙活動
隨著AI工具的盛行,騙徒突然變得「更加聰明」,以前入侵博主之後通常是張貼連結,希望有觀眾上釣,現在能透過被盜帳號推出完整的PR活動,以下是騙徒這次做過的活動:
- 一條短視頻:他們寫好劇本,並以Deepfake製作博主的聲音,再編輯合成舊的短片。
- 一條帖子:發出一張照片和賺人熱淚的文字,描述所謂的計謂有多艱辛,並嘗試模仿博主的慣用語調。
- 四個故事:騙徒重用過往博主提及過的Story,再加入釣魚網站連結,然後再次發帖文。
所有動作都令這個假計劃看起來像真,因為博主經常使用不同形式的內容來宣傳,騙徒也沒有貪懶,還加入一些假粉絲評價和感謝。至於影片,乍看來質素異常高之餘,也遵循了所有博客的規則,例如該博客的主題、語音旁術和快速的編輯,但再仔細檢查則能找出端倪,例如假影片包含免費版編輯應用程式CapCut的水印,而真博主的影片則沒有水印,因為他用付費版或其他應用程式。其他仔細的部份有字幕,博主使用白字和沒有背景,假影片則是白字及黑色背景。
點擊連結的後果
如果好奇點擊連結,而裝置沒有可靠的防護(提醒你正瀏覽釣魚網站),就會去到一個很簡單的網頁,華麗的圖像和注目的文字,以及吸引的獲得獎品按鍵,按下後會有一或兩個後果,獲得你的獎品前一個是要求支付佣金,又或是輸入你的資料,無論哪個都需要你的銀行資料,而結果都是沒有任何獎品,只是單純的網絡釣魚。
更換SIM卡攻擊
儘管帳號如何被盜沒有一個官方答案,但現在懷疑是更換SIM卡攻擊的受害者,簡單而言就是騙徒說服博主的流動電訊供應商,把她的號碼轉到新SIM卡,要成功有兩種主要的方法:
- 舊方法:騙徒偽造授權書,再親自前往服務供應商的門市要求更換SIM卡。
- 新方法:犯罪份子進入受害者的流動服務商網上帳戶,遙距發行eSIM。
更換SIM卡讓騙徒能繞過2FA認證,令Instagram支援以為他們是真帳號持有者,相同的招式可以用於任何透過短訊發送核實碼的服務,包括網上銀行。至於博主原有的SIM卡,則瞬間變成沒有用的膠片,沒有網絡,不能打電話和收發短訊。
保護自己的帳號
以下是防範自己帳號被入侵的基本守則,不論是通訊軟件、社交媒體、討論區或其他網站:
- 使用應用程式產生編碼的2FA取代短訊(SMS)
- 在所有裝置安裝可靠的防護方案
- 創建強力、獨一無二的密碼
- 每個服務都使用唯一的密碼
資料來源:Kaspersky Blog
