繼臉書和推特之後,受歡迎的照片分享應用程式 – Instagram成為問卷調查騙局最新的社群目標。趨勢科技這一次發現這些問卷調查騙局還會讓使用者下載一個Android惡意軟體。
筆者發現下列帳號想要在Instagram上「關注」筆者。(這是個標準程序,如果你將Instagram帳號設定為私人。)檢查這些關注請求後,筆者內心裡安全研究員的那部分發現這些帳號有些可疑的地方。
圖一、Instagram上的請求截圖
為了證實筆者的懷疑,筆者檢查了這些Instagram帳號網頁,注意到他們都貼了這張「Get Free Followers!(獲得免費粉絲!)」圖片。這貼文不禁令人想起部落格之前提過的Pinterest免費禮物廣告帶來問卷調查騙局。
圖二、Instagram上的獲得免費粉絲貼文
另一件可疑的事情是,這些Instagram粉絲會用類似「Tawna Tawna」和「Concetta Concetta」等疊字帳號名稱。
圖三、垃圾帳號樣本截圖
到目前為止,趨勢科技所偵測到的所有惡意和高危險應用程式裡有16.88%會連到惡意網址。這些網址會帶有不同的功能。可以作為被盜資料的倉庫,放置設定檔或惡意軟體組件,或代管惡意廣告或廣告軟體。另外,網路犯罪分子會利用智慧型手機無法完全顯示假網頁全貌來騙你送出登錄資料。行動網路釣魚已經不是新威脅了,而且出現的次數越來越多。想了解更多相關資訊,請參考我們的電子指南 – 「保護自己免受行動網路釣魚所害」。
即使是最小心的行動用戶也可能會遇到惡意網址。以下是兩個常見的例子:
1.安裝到假的熱門遊戲應用程式:安裝應用程式可能會讓你連到惡意網址。在二〇一二年尾聲所發現的木馬版本壞蛋豬在安裝時會在主畫面上建立一個捷徑,連到惡意應用程式網站。一旦執行,會讓你下載更多的惡意軟體進到設備裡。受歡迎的益智遊戲應用程式 Candy Crush最近也被當成目標。包裝成遊戲的作弊程式,實際上卻會派送廣告通知,讓使用者連到惡意網址。
2.好康簡訊:在行動設備上收發簡訊,很容易就讓你遇到惡意網址。419詐騙Nigerian 419 Scam(又稱奈及利亞騙局)長期以來都是桌上型電腦的威脅,現在也一樣出現在行動設備上,SMiShing在二〇〇六年首次亮相。網路犯罪分子對你發送像是優惠卷或禮物等免費物品的垃圾簡訊。這垃圾簡訊會帶你去一個號稱可以兌換所提供物品的網址。這網址或許看來像會連到正常的網站,但其實點進去只會連到惡意網頁。
會發生什麼?
成為惡意網址的受害者會讓你的行動體驗從天堂掉入地獄。下面是一些網路犯罪分子可以做的事情:
可以做些什麼來保護自己?
以下是你應該考慮的一些安全做法:
@原文出處:Avoiding Bad URLs in the Mobile Web
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
@延伸閱讀
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU
越來越多人利用行動設備來享受網路。comScore的研究指出,有五分之四的美國使用者透過智慧型手機在網上購物。他們還發現有52%的使用者利用他們的電子玩意來瀏覽網站,有39%用來瀏覽社群網站或部落格。你應該可以很安全地享受這些活動,而不用擔心行動網路釣魚(Phishing)這類的威脅。要做到很簡單,只要你了解它是什麼和可以如何來保護自己。
行動網路釣魚(Phishing)就是在行動設備上進行的網路釣魚(Phishing),像在你的智慧型手機或平板電腦上。網路釣魚(Phishing)就是網路犯罪份子通過偽造的電子郵件或是網站來誘騙你的個人資料,像是帳號名稱和密碼。如果你使用電子玩意時需要登錄到類似網路銀行、購物或社群網路等網站,那你就有面臨這一威脅的風險。行動網路釣魚(Phishing)和一般電腦版本不一樣的是,它會利用行動平台的局限性來竊取你的資料。
手機/平板網路釣魚比電腦更危險
這些限制包括有:
小尺寸螢幕,方便掩蓋犯罪破綻 – 這讓你的設備沒有辦法在行動瀏覽器內顯示所有內容。網路犯罪份子可以利用這點來掩蓋釣魚網站內可能被識破的元素。這些限制不一定有害,但卻讓你更容易陷入行動網路釣魚。
網路釣客從你的手機拿走什麼?
行動釣魚網頁會隱藏讓網路犯罪份子竊取你個人資料的惡意元件。網路犯罪分子將你的資料視為可以賣錢或用在其他計畫的資產。下面是網路犯罪分子所追求的東西:
你的金融帳戶 – 網路犯罪分子會侵入銀行帳戶並取走金錢。即使是手機也要睜大眼睛看清楚網址
每次你瀏覽網路時,都要小心行動網路釣魚的徵兆。
變造的網址:網路犯罪分子會利用行動設備的螢幕較小這一點。地址列的大小會隱藏住釣魚網頁網址和正常網址的不同。
下圖是兩個不同網址並排在一起比較:
圖一、偽PayPal網址和網頁(左)對照正常網址和網頁(右)
注意正常的網址有使用HTTPS安全協定,而釣魚網址沒有。偽PayPal網址也會在地址上出現多餘的文字。
在過去幾個月裡,我們部落格發表了幾篇關於智慧型手機被偷或遺失的問題日益嚴重。我希望可以藉由這些文章讓人們更小心這些可以避免的意外。
然而現實並非如此。事實上,問題似乎變得更糟。就好像全世界都沒有人看我的部落格或採納我的意見。這很顯然地惹惱了我。
如果你有看到紐約時報的頭版故事,標題是「Cellphone Thefts Grow, but the Industry Looks the Other Way(手機失竊事件增加,但是產業界視而不見)」,你會知道「新的全國被竊手機資料庫會追踪手機的獨特識別碼,防止它被啟動,理論上可以嚇阻竊盜…並沒有阻止被竊手機人數的不斷上升,部分原因是許多被竊手機都運到了海外,不在資料庫搜尋範圍,另一部分原因是識別碼可以輕易地被修改。」
唔…更令人驚訝的是,這篇文章表示手機產業並不關心,也不想要去增加更多的安全功能。因為,如果你手機遺失或被偷後必須再去買支新手機,那他們就可以賺更多的錢。
CNET有更多的壞消息,標題是「Smartphone safety lagging(智慧型手機安全性落後)」,參考Consumer Reports的年度「State of the Net」報告:
行動應用程式作者常常會在應用程式內加入廣告以增加收入。這些廣告會用誘人的標語或敘述來吸引更多使用者去點。通常這些廣告會要求使用者去下載應用程式或重新導向一個網頁。不過網路犯罪份子永遠不會放棄利用新方法,所以也會利用這管道來竊取使用者的資料。
趨勢科技發現近來疑似有詐騙集團利用行動/手機應用程式廣告進行詐騙。該廣告宣稱可以極優惠的價格提供消費者「iPhone5」以及「Samsung Galaxy Note II」等知名品牌手機,一旦點選該廣告後,使用者將被導向特定網頁,該網頁要求使用者提供手機號碼和詳細住址,造成使用者個資外洩,進一步為不肖人士利用。購買者不但不會收到下單的物品,還會接到後續的詐騙電話。此類透過行動應用程式廣告的詐騙手法目前已盛行於中國大陸,但不排除有可能針對台灣使用者進行類似的網路詐騙攻擊,民眾應提高警覺。
有一名網友被價格吸引曾經下過訂單,但後來覺得不妥取消了訂單,事後忽然接到對方的電話,聲稱為了感謝下訂者對他們公司的支持,要送他一對總售價超過4萬塊人民幣的Omega手錶,但是需要支付包括手續費、保險費、快遞費等各種費用約260元人民幣。
