全球资安公司卡巴斯基警告,近期出现一种以“虚假投票”为诱饵的网络钓鱼攻击,专门瞄准WhatsApp用户,目的在于劫持账号。
卡巴斯基今日发布声明称,这类攻击通常伪装成投票活动,其中一个版本甚至以“年轻运动员”为主题,但攻击者也会轻易更换主题,以适应不同情境。其核心手法不变——引导用户输入与WhatsApp绑定的手机号,并套取验证码。
Advertisement
据说明,受害者首先会被引导到一个看似正规的网站,页面上展示运动员照片、投票按钮以及“实时计票”,制造出高度真实的氛围。页面还声称,只要“获得授权”即可参加投票,并有机会赢取“赞助商奖品”。
然而,一旦用户点击“投票”或“授权”,便会被转入钓鱼网站,诱导其输入WhatsApp号码。攻击者随后利用WhatsApp网页版功能发起登录,系统发送的6位验证码会被同步至诈骗网站,当用户输入验证码时,攻击者即可同步激活会话,全面接管受害者账号,包括读取信息、冒名发送消息。
卡巴斯基网络分析师塔季扬娜指出,攻击者善于结合社会工程与高度仿真的界面,利用人们对投票活动的信任窃取资料。“提高警觉与安全意识,是防止账号被盗的关键。”
