我收到了一条Instagram私信,点进去差点出事
说起这个事还挺尴尬的。上个月一个挺久没联系的老朋友突然给我发Instagram DM,说她在外地旅游遇到点麻烦,让我帮忙充个话费等之类的事。我当时还想着这朋友真惨,旅个游还能碰上这种事,准备二话不说帮忙。
结果多长了个心眼,点进去看了看她的主页——好家伙,粉丝数和之前完全对不上,发的东西也不对劲。我这才反应过来,这哪是什么老朋友,根本就是个盗了她号的骗子。
事后我出了一身冷汗,但也因此开始认真研究Instagram DM钓鱼这个事。不研究不知道,一研究才发现这玩意儿比我们想象的要普遍得多,也精妙得多。今天就把这段时间学到的东西分享出来,希望你们别踩我踩过的坑。
什么是Instagram DM钓鱼?
先说说什么是DM钓鱼。DM就是Direct Message,也就是私信。钓鱼就不用我多解释了,网络诈骗的经典套路。
Instagram DM钓鱼就是诈骗分子通过私信给你发消息,假装是官方、朋友或者某个可信来源,诱导你点击链接、输入账号密码,或者下载恶意软件。整个过程的核心理念就是四个字:伪装欺骗。
为什么Instagram成为重灾区?首先它用户量大,全球用户超过20亿,诈骗分子自然盯着这块肥肉。其次Instagram私信的使用频率非常高,大家习惯了点开私信就看,容易放松警惕。再一个原因是Instagram的链接预览做得挺好看,骗子做的钓鱼页面也容易以假乱真。
那些年我见过的钓鱼套路
研究过程中我收集了不少案例,发现钓鱼信息其实有几种比较固定的模式。
假装官方派
这种特别有迷惑性。骗子会冒充Instagram官方,给你发说什么”你的账号存在违规行为需要进行验证”,或者”有人举报你的内容,我们需要确认你的身份”之类的。
这类消息往往会给你一个链接,让你登录Instagram账号。你一输入,账号密码就被人家拿走了。更高级的还会做个和Instagram登录页面一模一样的假网站,连域名都玩花样,比如instagrambeta.com这种,不仔细看根本看不出来。
友情牌套路
这就是我遇到的那种。骗子不知道用什么手段控制了某个朋友的账号,然后用这个账号给你发消息。常见的说辞包括:在外地旅游手机被盗需要帮忙、买机票钱不够、或者什么紧急情况需要借钱。
因为确实是朋友的账号发来的,很多人会掉以轻心。我有个同事就是这么被骗的,损失了好几千块钱。事后她朋友也很愧疚,说完全不知道自己的账号什么时候被黑的。
利益诱惑型
这种就是利用人的贪心。比如告诉你”恭喜你中奖了”,或者”你的账号获得了一个大奖”,领奖需要填写个人信息。或者冒充什么品牌方,说看中你的内容想要合作,让你点击链接报名。
还有一些更隐蔽的,比如冒充Instagram创作者计划,说你的内容达到要求可以开通収益功能,让你登录确认。实际上都是奔着你的账号密码来的。
紧迫感施压
这类钓鱼信息会营造紧迫感,让你来不及思考。比如”你的账号将在24小时内被注销”,或者”你的账户存在安全风险,请立即处理”。
人的本能反应看到这种消息会慌,一慌就容易点链接。我个人经验是,不管什么消息,只要让你产生紧迫感、焦虑感,先冷静下来再说。官方不会这么搞的。
我是怎么识别钓鱼信息的
说了这么多套路,那到底怎么分辨呢?我总结了一套自己的检查方法,分享给大家。
| 检查项 | 正常情况 | 可疑情况 |
| 发件人账号 | 账号信息完整,有正常发布内容,粉丝和关注数据合理 | 账号刚创建或内容很少,粉丝数异常,关注列表奇怪 |
| 链接地址 | 链接指向instagram.com或facebook.com旗下产品 | 链接域名奇怪,有拼写错误,或使用短链接隐藏真实地址 |
| 符合该人平时的说话风格 | 语气异常,或者用词不像本人,比如突然变得很官方 | |
| 涉及账号密码、金钱转账、下载软件等敏感操作 | ||
重点说说链接检查这个,这是最直接的判断方法。真正的Instagram官方链接,域名一定是以instagram.com或者meta.com结尾的。如果看到什么instagram-security-help.com、insta-verify.net这种,那肯定是假的。
还有一种方法是把鼠标悬停在链接上(手机上长按),看显示的真实地址。现在很多浏览器和APP都会显示预览,你仔细看看是不是你要去的地方。如果链接显示的和文字描述不符,那肯定有猫腻。
至于语言语气这个,有时候确实不好判断。但如果你和对方很熟,他突然用很生疏的语气给你发消息,或者说的话不符合你们的关系模式,就要多一个心眼了。我建议这时候可以直接换了个聊天方式确认,比如给对方打个视频电话,或者用其他社交软件问一下。
我是怎么保护自己的
说完识别再说防范。防范的核心原则其实很简单:任何涉及账号密码、敏感信息的请求,都不要通过私信链接完成。官方找你验证,永远是通过APP内通知而不是私信链接。
具体来说,我做了这么几件事。首先打开了Instagram的两步验证功能。这是目前最有效的账号保护手段,开启之后即使密码被泄露,骗子也登录不上你的账号。Instagram支持两种方式:短信验证码和认证APP。我个人推荐用认证APP,比如Google Authenticator或者Authy,短信验证码有时候会被拦截。
然后我养成了一个习惯:收到任何私信链接,一律不直接点。如果内容看起来确实需要处理,我就手动打开InstagramAPP,在APP里面操作。比如收到”你的账号有风险”的消息,我不去点那个链接,而是自己打开Instagram,去设置里看看有没有什么通知。官方真的有事找你,APP里肯定会有显示。
还有一点很重要:不要在任何非官方网站输入Instagram账号密码。登录之前看看地址栏,确认是instagram.com再输入。这个习惯不光适用于Instagram,所有账号都一样。
至于朋友突然借钱这种情况,我的做法是先核实身份。视频通话一下,问几个只有你们知道的问题,比如”上次见面咱们去的哪家咖啡馆”之类的。如果对方各种理由推脱不视频,那基本可以确定是骗子了。
要是不小心已经点了怎么办
如果你已经点了钓鱼链接,输入了账号密码,别慌,还有补救措施。
第一步是赶紧改密码。不要等,马上改。改完之后把所有会话都登出,这样即使骗子已经登录也会被踢下来。在Instagram的设置里找到”安全”,然后”登录活动”,可以查看所有登录设备,不认识的全删掉。
第二步是打开两步验证。如果你之前没开,现在立刻开。如果你已经开了,骗子没有两步验证码其实也登录不进去,但检查一下总没错。
第三步是检查账号有没有被改动。看看绑定的邮箱、手机号有没有被改掉,关注的账号有没有异常,发布的内容有没有奇怪的东西。骗子有时候会改你的绑定信息,方便他们以后再登录。
如果发现账号已经被完全控制了,比如登不进去了,那就只能走Instagram的账号恢复流程。在登录页面选择”忘记密码”,或者直接联系Instagram官方支持。这个过程可能比较麻烦,但也没办法。
说点个人感想
写这篇文章的时候,我一直在想一个问题:为什么诈骗总有人上当?
我觉得不是因为笨,而是因为诈骗分子太会利用人性了。他们知道你关心朋友,知道你担心账号安全,知道你有时候会贪心或者怕麻烦。他们精心设计每一句话每一个链接,就是为了让你的大脑在那一瞬间短路。
我们要做的不是让自己变得多聪明,而是养成一些好习惯。习惯看链接域名,习惯不随便点私信链接,习惯两步验证。这些习惯一旦养成,就像给大脑装了个防火墙,比什么防诈骗软件都管用。
另外就是保持沟通。和朋友之间可以约定一个验证方式,比如设置一个只有你们知道的”安全问题”。如果对方突然找你借钱或者其他敏感的事,用这个方式核实一下,能避免很多麻烦。
网络世界挺复杂的,骗子也在进化。我们能做的就是在合理范围内保护好自己,同时也不嘲笑那些上当的人。他们不是傻,只是遇到了精心设计的骗局。下次说不定就轮到我们了。
希望这篇文章能帮到你们。如果觉得有用,转发给身边的朋友看看。网络安全这东西,多一个人知道就少一个人受害。
