你想知道誰在看你的社群媒體個人檔案嗎?
很多人都想,這也是為什麼許多社群媒體資料最後都會被駭。
最近的報導指出 Apple 和 Google 將一款熱門應用程式從應用程式商店下架,因為發現其實際上是惡意的。iOS上的「Who’s Viewed Your Profile – InstaAgent(誰在看你的個人檔案)」和Google Play上的「Who View Me – InstaAgent(誰在看我)」是號稱會秀出誰在看使用者Instagram帳號的追蹤應用程式,它們因為被發現會竊取個人憑證並送到遠端伺服器而被下架。
貧果
德國研發人員David Layer-Reiss將此發現放到Twitter上並說:「誰在看你的個人檔案 #Instaagent會將你的Instagram使用者名稱和密碼送至未知伺服器!」被取得的資料會被用來劫持帳號並試圖在未經使用者允許下上傳圖片。
該應用程式所宣稱的功能引起使用者的興趣,在其下架前帶來近百萬次的下載量,讓它能夠高踞英國免費應用程式排行榜四天。它也在美國、加拿大和德國登上熱門下載排行榜。Layer-Reiss進一步說,「我得說Who’s Viewed Your Profile – InstaAgent(誰在看你的個人檔案)是第一個在iOS App Store被下載超過五十萬次的惡意軟體」。而 Android版本的應用程式也有至少10萬次的下載 – 這數字很驚人,因為其只有低到2.2的評等。
Instagram(Facebook所擁有的平台)在之前對於其使用者提出關於此類第三方應用程式陷阱的防範建言,「不要將第三方存取權限授予沒有遵守我們社群準則或使用條款的網站或應用程式(包括販賣或承諾給予免費追隨者或按讚的網站),因為它可能會用不適當的方式來使用你的帳號。」
然而,即便越來越多使用者認識到此種騙局所帶來的安全問題,網路犯罪分子仍然認為這是種有效的誘餌,利用著帳號所有者所產生的好奇心來達成他們的邪惡目的。
這聽起來像是種古老的犯罪劇本,但是仍然有效。這並非惡意份子第一次利用「誰在看你的個人檔案」騙局來讓社群媒體使用者自願的成為受害者。利用Facebook個人資料檢視誘餌的點擊劫持和網路釣魚騙局被證明是有效的。去年的一項研究顯示,Facebook上最有效的騙局會利用使用者的對於誰檢視自己個人檔案的好奇心,這佔了該年感染使用者惡意連結的30%。網路騙子也利用了 Twitter巨大的佔有率,還有其可以快速傳播的特性來誘騙使用者點擊惡意連結。這個應用程式名為Wh0 Viewed Y0ur Pr0file(誰在看你的個人檔案),誘騙使用者授權使用自己的身分憑證,在十五分鐘內發出6,972則推文。
每個人都應該知道一個事實:到目前為止,沒有合法而安全的應用程式可以讓社群媒體使用者知道誰看了其社群媒體帳號。除了 LinkedIn 的個人檔案檢視通知外,社群媒體網站和應用程式既不提供也不支援這種服務。比較可能會發生的事情是,宣稱具備此類功能都是一場騙局,只是讓駭客用來存取使用者的帳號。
最近發生的這事件對行動用戶來說也是個警鐘,特別是iOS使用者,永遠不要放鬆警戒心。儘管Apple高度重視 App Store審核過程,惡意應用程式仍然可以想辦法過關。儘管最終被抓到並被下架,應用程式還是可能侵入了近一百萬個帳號。
[延伸閱讀:如何提高你iOS設備的安全性]
@原文出處:InstaAgent App Proves that Social Media View Scam is Still Effective
