Symantec 發表10月份網絡安全報告,揭露網絡罪犯把魔爪伸向全球用戶人數剛突破一億大關的熱門相片共享平台Instagram。他們從多個不同角度在Instagram設置陷阱,跟他們在其他社交網絡慣常採用的詐騙技倆大致相同。
首先用戶會收到Instagram發出的留言通知,但有關留言往往來自用戶不認識的陌生帳戶,而留言的內容更與用戶的相片無關,一望而知是垃圾訊息:
Hi there, Get a FREE Game in my Profile, OPEN it up, Get 85.90$ 🙂 xx
「你好,請在我的個人檔案下載一個免費遊戲,開啟後便可以獲得85.90$ 🙂 xx」
留言的帳戶更通常用上漂亮可人的美女相片作為用戶圖示,雖然從未張貼和分享任何其他相片,但關注者卻動輒有數千人,一點都不像正常的Instagram相片分享服務帳戶。
濫發垃圾留言帳戶的個人檔案頁
留言帳戶的個人檔案內容與留言內容大致相同,但會列出一個簡短網址。這段垃圾訊息有別於一般網誌垃圾留言之處,就是其中的網址連結並非直接在留言內列出,而是出現在留言者的個人檔案之中,然後在留言內指示用戶檢視其帳戶的個人檔案,並登入上面顯示的連結以獲取更多訊息。網絡罪犯採用這樣間接的方式引導用戶登入另一個網站,原因可能是想透開Instagram的監察,因為Instagram會自動移除留言內一切可疑的連結。
有關連結會指向另一個收費流動服務的網站,用戶若輸入其電話號碼,便可以收到有趣的動物短片,而月費只要4.5歐元。
連結指向的收費服務
之後用戶的帳戶會在短時間內獲得一批關注者,這些關注者都有以下共通點:
- 她們全都是女性,所顯示的帳戶個人圖示都很吸引。
- 她們都沒有張貼或分享任何相片的紀錄。
- 她們的個人檔案頁都包含了簡短網址。
這些用戶的個人檔案頁均包含了一條簡短網址,雖然它們表面看起來都不相同,但實際上全部都指向同一個網站:一個社交網絡內偽冒的招聘廣告。根據廣告內文,用戶只需要提供自己的姓名和電郵地址,然後每日在Facebook和Instagram內閒逛,便可以獲得250美元日薪作為報酬。
罪犯利用偽冒的關注者個人檔案,令用戶墮入網絡釣魚陷阱。
這類垃圾訊息或會令用戶誤墮釣魚詐騙陷阱,而這些可疑帳戶的關注者均數以千計,實在令人不安。關注者人數眾多,原因可能是許多社交網站社群「有來有往」的特性:若有人關注我,我也會關注對方。這些帳戶關注其他帳戶的數量,均遠多於其他帳戶關注這些帳戶的人數,進一步提高了這個猜測的可能性。
出現了這類詐騙陷阱,不單只Instagram,但大部份社交網站均有應付之法。張貼垃圾訊息明顯違反Instagram社群指引,用戶若被證實觸犯這種行為,其帳戶將會被迅速關閉。Symantec香港區系統工程經理李輝建議用戶遵守以下守則,以保安全。
- 把你的帳戶設定為私人(Private)帳戶,以便控制哪些人可對你關注。
- 不要隨便關注其他帳戶。若你懷疑對方是偽冒的帳戶,切勿理會它們。
- 不要隨便登入任何簡短網站連結,除非你清楚知道它指向的真正網址。
- 值得考慮的額外建議:不要關注沒有分享相片的帳戶,也不要讓這類帳戶關注你,除非你認識這個帳戶的主人。然而,事實上有些人真的只喜歡瀏覽別人的相片,自己卻不喜歡拍照。
- 最後,若發現任何可疑的帳戶或留言,請即向Instagram舉報,以及遵守Instagram的私隱和安全指引。