假Instagram粉絲製造器 自動訂購付費服務導致使用者電信帳單爆增
【2013年06月06日 台北訊】社群軟體和平台永遠是駭客騙取個資的最佳管道,這次的苦主是知名照片分享軟體程式Instagram。趨勢科技(TSE:4704)發現駭客透過特定的Instagram帳號主動追蹤無辜使用者,一旦接受其追蹤,就會發現這些帳號的頁面散佈「Get Free Followers!」圖片,點選後將被導向號稱下載該應用程式的網頁,但下載的是ANDROIDOS_GCMBOT.A惡意程式,會蒐集裝置資訊、驅使裝置自動開啟惡意網頁、發送簡訊訂購付費服務,讓使用者帳單爆增,若使用者未下載該程式,只要點選該圖片也會被導向特定問卷網站,個資亦可能外洩。
社群軟體與平台早已成為許多人不可或缺的虛擬社交圈,在Facebook、Twitter,以及日前發現的駭客假冒Skype名義意圖詐騙使用者個資後,Instagram成為駭客運用的利器早已是意料中事。趨勢科技發現駭客於Instagram上創造垃圾帳號,主動追蹤Instagram上的無辜使用者,一旦使用者同意接受其追蹤,會發現這些垃圾帳號的共同點就是頁面上會出現「Get Free Followers!(獲得免費粉絲!)」的圖片,
一旦使用者點選將被導向號稱可以下載「獲得免費粉絲」的頁面,若點選下載裝置將遭ANDROIDOS_GCMBOT.A惡意程式感染,該程式會驅使裝置開啟其他含有惡意程式的網頁,並自動發送簡訊訂購付費服務,可能造成使用者電信費用帳單爆增。
只要進到下載應用程式的畫面即便未點選下載軟體,也會被導向特定的問卷網頁,不排除駭客可能想透過此手段騙取使用者個資,或是運用多次導向的手法,讓使用者在被導向該問卷網頁前,先被導向廣告追蹤網站,借此賺取利潤。
趨勢科技資深顧問簡勝財表示:「社交工程陷阱是駭客慣用的手法,本次攻擊仍是運用人性好奇以及多數人對社交平台上來路不明的朋友與訊息抱持較開放心態的弱點,我們呼籲使用者仍須對社交平台上的訊息保有理性判斷與戒心,才能避免受駭。」
趨勢科技建議使用者可選取針對行動裝置提供防護的資訊安全軟體,像是趨勢科技行動安全防護,可以偵測和封鎖惡意軟體或高風險Android應用程式。趨勢科技行動安全防護免費試用: http://www.pccillin.com.tw/product-tmms.html 。