InstaAgent換名為InstaCare,再次成為熱門下載應用程式
在去年年底,一個名為InstaAgent的應用程式愚弄了數千名iOS和Android使用著,給出它們Instagram的帳號憑證好來知道誰在看自己的個人檔案。但其實這應用程式所真正做的是將這些登錄憑證發送到一個未知伺服器,劫持使用者帳號來任意發表圖片。InstaAgent經過了精心的設計(至少在社交工程(social engineering )的角度上),在Apple App Store下架前達到近五十萬的下載次數。
現在看起來,它的開發者進行了第二次的嘗試,有著一切相同的元素,只是用了不同的名稱:InstaCare。這個應用程式做跟InstaAgent一樣的事情,它會竊取使用者資料並劫持帳號 – 而且再一次地,它達到一樣的成功。據導,InstaCare甚至在某些國家進入Apple App Store下載排名榜的最高點。在本文撰寫時,該應用程式似乎已經被下架,但想想其可下載期間所達到的使用者數量,它的確成功了。
InstaAgent,InstaCare以及類似的騙人應用程式證明社群媒體本身仍是有效的社交工程(social engineering )誘餌。並不能完全怪罪使用者希望知道誰看了自己的個人檔案,到Apple App Store和Google Play上搜尋類似的關鍵字就會發現這是個歹徒聚寶盆,有許多其他應用程式也宣稱有類似功能。
應該要再重申一次,到目前為止,沒有合法而安全的應用程式可以讓社群媒體使用者知道誰看了其社群媒體帳號。除了LinkedIn的個人檔案檢視通知外,社群媒體網站和應用程式既不提供也不支援這種服務。