作者:趨勢科技資深資安顧問Rik Ferguson
當我在這個週末用iPhone來上Facebook時,我看到一個好友利用圖片分享網站來分享一個非常有趣的圖片,很值得仔細看看。我點了那張圖片,本來是想要看到全螢幕圖片版本,結果卻遇到一次非常積極且具有針對性的賺錢騙局。我的瀏覽器被重新導向到一個網站,出現一個訊息通知我首次進入英國(Apple)抽獎活動。因為只有「OK」按鈕,我也不得不繼續下去…
下個畫面就非常明確的告訴我,我的iPhone手機號碼被隨機抽中,有資格在下列獎項中四選一:MacBook Air、Amazon的Kindle Touch、iPhone 4S或iPad 2。為了加強可信度,這個頁面還會秀出之前幸運中獎者的110個留言中選出的十筆。我可以確定Marcus、Alex和Sue都是很可愛的人,但我並不真的相信有這些人存在。
我選擇了iPad 2(看起來是唯一還可以選的獎品),我的獎品立刻被「保留」起來,我只要再回答最後一個問題就可以了…
我被重新導到一家Quizir公司所提供的測驗服務。一開始畫面上問我一個很簡單的問題。但是當我滑動螢幕,我注意到一段很長的小字通知,我需要付3英鎊來加入測驗,而且每回答多一個問題都要再3英鎊。嗯嗯,也許我並沒真的那麼幸運。這個條款還說,我只是有中獎資格,就跟其他參加者一樣。當然,我並沒有真的在我的手機上繼續他們所要求的步驟。
這整個騙局看起來非常具有針對性,而且顯然是假的,我決定小小的研究一下。我發現這家Quizir是荷蘭一家RD Media的子公司(其他子公司還有Crosmo,Djugo…)。我瀏覽了他們的網頁,好找出更多關於這顯然被人所濫用測驗服務的線索。
根據一些其他的線上條款,每個參加者必須獲得至少5000點才有資格獲獎,每個比賽必須最少有100名參加者,才能夠產生贏家。這些條件都沒有在我的手機測驗畫面中被提及。而且,不管在網路或手機上都沒有提到要怎麼去累積積分。當我打電話給他們的客服,他們很高興的替我解釋。如果我可以在七秒內回應簡訊的話,我會得到700分,每多5秒就會少100分,如果我的時間超過1分鐘,我只能得到100分。每則簡訊3英鎊,如果我真正想要成為贏家,那我可得要花上不少錢!
雖然一開始的誤導性視窗和重新導向的惡意廣告並不是來自RD Media,我在電話上交談的那名工作人員也沒辦法跟我說清楚和合作廠商的支付行為是怎麼進行的。不過我也很懷疑他們是否有支持這些合作廠商的惡意廣告。RD Media當然也不能說是無辜的,他們在其條款的透明度上也有嚴重的瑕疵。
然而,就如同我們年初所預測的,這是犯罪分子會去濫用合法服務以產生收益的進一步證據,證明了網路犯罪並不需要惡意軟體或感染設備也可以成立。不管是用哪一種系統平台,使用者都應該要了解並小心這種高度針對性的社交工程詐騙威脅。當我們朝向去利用行動設備來作為主要連網和作業平台時,網路犯罪分子和不法企業也會想辦法在這管道上找出更多具有說服力的詐騙方式。
我已經發送一個問題清單給RD Media,同時也聯絡了英國的監管單位 – PhonepayPlus。如果有任何進展,我會再更新這篇文章。
加入想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:https://www.facebook.com/trendmicrotaiwan
@原文出處:iPhone targeted Malvertising
@延伸閱讀
假的 WhatsApp for Facebook正在塗鴉牆流傳
假拉票真詐騙~我朋友參加攝影比賽,幫忙一下…別上當!!手機簡訊認證碼詐騙新招「網路投票」
熱門電影惡意 APP 誘餌,蜘蛛人詐騙再起;黑暗騎士帳單暴漲~”Android的暢銷遊戲″網站詐很大
Android – 更潮就更危險!六個Android 主要威脅與安全守則
天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費
假 Android 版本Skype,安裝後簡訊爆量,帳單暴增
◎ 歡迎加入趨勢科技社群網站
