???????????: ????????????????????????????????
詐欺師は、侵入した Instagram アカウントを悪用してフィッシングサイトでログイン情報を集め、アンケート詐欺でお金を稼ごうとしています。
Read More
詐欺師は、侵入した Instagram アカウントを悪用してフィッシングサイトでログイン情報を集め、アンケート詐欺でお金を稼ごうとしています。
Read More
Scammers are using compromised Instagram accounts to phish for login credentials and earn money through survey scams.Read More
先週、Instagram を悪用する詐欺師から、宝くじに当選したと称して、その当選金をフォロワーに進呈すると騙る画像が投稿されました。詐欺師はユーザーを欺いてこの投稿を共有させ、個人情報を引き出したり、さらには詐欺師への送金を求めたりします。
この詐欺では、英国と米国の現実の宝くじ当選者になりすますために多数の Instagram アカウントが作成されました。そして、そのアカウントをフォローし、コメントと電子メールアドレスを残してくれたユーザーに 1,000 ドルずつ進呈すると謳っています。
図 1. 実際の宝くじ当選者になりすました Instagram アカウント
宝くじ当選者になりすましたアカウントの成功率はきわめて高く、5,000 ~ 10,000 人程度のフォロワーを獲得しています。
一定数のフォロワーを集めると、今度は当選者たちの「会計士」と称する人物の Instagram アカウントが登場します。この会計士が 1,000 ドルの送金を担当するということになっていますが、そこに罠が仕掛けられています。
図 2. 偽「会計士」のプロフィールが金銭を要求してくる
上の図では、「会計士」のプロフィールを名乗る人物が、大手の決済処理サービスを使って 0.99 ドルを送金するよう Instagram ユーザーに求めています。小切手を送るための郵送費用という名目です。
図 3. 宝くじ詐欺に引っかかってしまったユーザー
警戒すべき要素がたくさんあったにもかかわらず、この詐欺は成功を収めており、各アカウントが数千人のフォロワーを集めました。フォローしたユーザーは喜んで電子メールアドレスを公開し、一部のユーザーは郵送費用の負担分として 0.99 ドルを実際に支払っています。
この詐欺攻撃の最大の目的は、数千人のフォロワーを持つアカウントを集め、それを自分で利用するか転売することでした。シマンテックによる調査中に、なりすましアカウントの一部に関連しているユーザー名で、アカウントピボットが実行されました。つまり、アカウントがスパム認定されないように、アバター、ユーザー名、ユーザープロフィールが変更されたのです。こうすると、詐欺師は同じアカウントを使い続けるか売却することができます。
図 4. Instagram のなりすましアカウントが、フォロワー数を減らして再登場
アカウントピボットの直後に、なりすましアカウントが再登場しましたが、フォロワー数は以前より少なくなっていました。なかには、「ハッキングされた」と称してしばらく待つように求めるアカウントまで現れています。
これらのアカウントが偽物であることは明らかですが、Instagram アカウントをフォローするだけで 1,000 ドルが手に入ると信じ込むユーザーは後を絶ちません。
以下のような予防対策を講じることをお勧めします。
ウソのような儲け話は、しょせんはウソだということを忘れないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
先週、Instagram を悪用する詐欺師から、宝くじに当選したと称して、その当選金をフォロワーに進呈すると騙る画像が投稿されました。詐欺師はユーザーを欺いてこの投稿を共有させ、個人情報を引き出したり、さらには詐欺師への送金を求めたりします。
この詐欺では、英国と米国の現実の宝くじ当選者になりすますために多数の Instagram アカウントが作成されました。そして、そのアカウントをフォローし、コメントと電子メールアドレスを残してくれたユーザーに 1,000 ドルずつ進呈すると謳っています。
図 1. 実際の宝くじ当選者になりすました Instagram アカウント
宝くじ当選者になりすましたアカウントの成功率はきわめて高く、5,000 ~ 10,000 人程度のフォロワーを獲得しています。
一定数のフォロワーを集めると、今度は当選者たちの「会計士」と称する人物の Instagram アカウントが登場します。この会計士が 1,000 ドルの送金を担当するということになっていますが、そこに罠が仕掛けられています。
図 2. 偽「会計士」のプロフィールが金銭を要求してくる
上の図では、「会計士」のプロフィールを名乗る人物が、大手の決済処理サービスを使って 0.99 ドルを送金するよう Instagram ユーザーに求めています。小切手を送るための郵送費用という名目です。
図 3. 宝くじ詐欺に引っかかってしまったユーザー
警戒すべき要素がたくさんあったにもかかわらず、この詐欺は成功を収めており、各アカウントが数千人のフォロワーを集めました。フォローしたユーザーは喜んで電子メールアドレスを公開し、一部のユーザーは郵送費用の負担分として 0.99 ドルを実際に支払っています。
この詐欺攻撃の最大の目的は、数千人のフォロワーを持つアカウントを集め、それを自分で利用するか転売することでした。シマンテックによる調査中に、なりすましアカウントの一部に関連しているユーザー名で、アカウントピボットが実行されました。つまり、アカウントがスパム認定されないように、アバター、ユーザー名、ユーザープロフィールが変更されたのです。こうすると、詐欺師は同じアカウントを使い続けるか売却することができます。
図 4. Instagram のなりすましアカウントが、フォロワー数を減らして再登場
アカウントピボットの直後に、なりすましアカウントが再登場しましたが、フォロワー数は以前より少なくなっていました。なかには、「ハッキングされた」と称してしばらく待つように求めるアカウントまで現れています。
これらのアカウントが偽物であることは明らかですが、Instagram アカウントをフォローするだけで 1,000 ドルが手に入ると信じ込むユーザーは後を絶ちません。
以下のような予防対策を講じることをお勧めします。
ウソのような儲け話は、しょせんはウソだということを忘れないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Over the last few days, Instagram scammers have been posting images offering fake lottery winnings to followers. They have convinced users to share the posts, give up personal information, and even send money back to the scammers.
In this scam, a number of Instagram accounts have been created to impersonate real-life lottery winners from the UK and US. These accounts claim to offer US$1,000 to each Instagram user who follows them and leaves a comment with their email address.
Figure 1. Instagram accounts impersonating real-life lottery winners
The accounts impersonating lottery winners have been extremely successful, and have gained anywhere from 5,000 to 100,000 followers.
Once they have amassed a certain number of followers, they reveal a secondary Instagram account belonging to their “accountant”, who is in charge of delivering the US$1,000 to users—with a catch.
Figure 2. Fake “accountant” profiles asking users for money
The previous figure shows the “accountant” profiles asking Instagram users to send US$0.99 through a large payment processing service to cover the postage fees for mailing out the checks.
Figure 3. Users who have fallen for the lottery scam
Even though a number of red flags were present for users, the scam has proven to be a success. Each account has gained thousands of followers, with users willingly divulging their email addresses, and some users sending scammers US$0.99 for the supposed postage fees.
The main goal of this scam campaign was to collect accounts with thousands of followers for personal use or resale. During our research, we also found that user names associated with some of the impersonation accounts had performed an account pivot. This means the avatar, user name, and user biography section were changed to preserve the account from being flagged for spam. This allowed the scammers to continue to use or sell the account.
Figure 4. Instagram impersonation accounts have reappeared with fewer followers
Shortly after the account pivot, the impersonation accounts reappeared, but with fewer followers than before. One of the accounts even claimed that it was “hacked” and asked followers to be patient.
It’s clear that these accounts are fraudulent, but users continue to believe that they will be given US$1000 just for following Instagram accounts.
Symantec advises users with the following precautions:
Always remember that if it sounds too good to be true, it is.
Brazil is the only Portuguese speaking country in both South and Latin America. It is also fifth biggest country in the world, according to its geographical size and in terms of population. Brazilians represent a fascinating ethnic and cultural fusion, influenced by indigenous, European, African, and Asian cultures. With the upcoming World Cup in 2014 […]
この週末、写真共有アプリ Instagram で大量のアカウントが削除されるというデマが広がりました。@activeaccountsafe という偽アカウントから、Instagram のプライバシーポリシー変更に関する通知と称する写真が投稿されたのです。この写真は、次のような文面でした。
「On December 20, 2013 we will be randomly deleting a huge mass of Instagram accounts. Many users create multiple accounts and don’t use them all. This cost us $1.1 million to run inactive accounts. These accounts become inactive and then create spams. In order for us to keep al spam off of Instagram we will be randomly deleting accounts. To keep your account active REPOST this picture with @ActiveAccountSafe & #ActiveAccountSafe . We’re doing this to keep active users online.
(2013 年 12 月 20 日に、大量の Instagram アカウントをランダムに削除する予定です。複数のアカウントを作成したまま、まったく使っていないユーザーが多数になり、使われていないアカウントの維持だけで 110 万ドル掛かっています。しかも、使われていないアカウントはスパムに利用されています。ランダムにアカウントを削除するのは、Instagram からスパムを一掃するためです。お使いのアカウントのご利用を続けたい場合には、@ActiveAccountSafe と #ActiveAccountSafe を付けてこの写真をシェアしてください。これはアクティブなユーザーの皆様に今後もサービスをご利用いただくための措置です)」
図 1. デマを拡散する Instagram アカウント @ActiveAccountSafe
このアカウントには 10 万近いフォロワーがおり、ハッシュタグ #ActiveAccountSafe も 15 万近い投稿に付けられていました。
図 2. 15 万近い投稿で使われたハッシュタグ #ActiveAccountSafe
先日も、10 万人の Instagram ユーザーが欺かれてログイン情報を提供してしまうという詐欺がありました。今回は、そのときとは異なり、Instagram のログイン情報を使ってログインするように求める指示はなく、単に写真をシェアするよう求めるだけでしたが、その意図は明白です。ソーシャルネットワークのユーザーは絶えず詐欺やスパム、デマに狙われており、こうした攻撃は成功しています。だからこそ、このような行為は後を絶たないのです。
12 月 20 日に大量のアカウントが削除されるというのはまったくのデマですので、Instagram ユーザーは心配する必要はありません。Instagram は、すでにこの偽アカウントが無効にしており、ハッシュタグも検索できないようになっています。
プライバシーポリシーの変更などがあるか確認するには、公式の Instagram アカウントをフォローし、Instagram のブログで更新情報を確認するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Over the weekend, a hoax about mass account deletion made its rounds on photo-sharing app Instagram. A bogus account @activeaccountsafe, posted a photo which claimed to be a privacy policy update from Instagram. The photo reads:
“On December 20, 2013 we will be randomly deleting a huge mass of Instagram accounts. Many users create multiple accounts and don’t use them all. This cost us $1.1 million to run inactive accounts. These accounts become inactive and then create spams. In order for us to keep al spam off of Instagram we will be randomly deleting accounts. To keep your account active REPOST this picture with @ActiveAccountSafe & #ActiveAccountSafe . We’re doing this to keep active users online.”
Figure 1. The hoax Instagram account @ActiveAccountSafe
The account amassed close to 100,000 followers, while the hashtag #ActiveAccountSafe has racked up nearly 150,000 posts.
Figure 2. Nearly 150,000 posts using the hashtag #ActiveAccountSafe
We recently discovered a scam which duped 100,000 Instagram users into giving up their login credentials. Unlike the previous scam, this one did not ask users to login with their Instagram login credentials. It merely asked them to re-post a photo. However, the message is clear: social network users are constantly targeted by scams, spam and hoaxes and these campaigns succeed, which is why those responsible for them keep pursuing them..
Instagram users need not worry about plans to delete a large number of accounts on December 20, as it was all part of the hoax. Instagram has disabled the account and the hashtag is no longer searchable.
Symantec Security Response advises users to follow the official Instagram account and check the Instagram blog for updates to confirm any changes to privacy policy.
シマンテックセキュリティレスポンスが確認したところ、「いいね」やフォロワーの数を増やすために、ボットと思われるアプリに対してユーザー名とパスワードを進んで共有してしまっている Instagram ユーザーが少なくないようです。
図 1. InstLike アプリの最初のログイン画面
InstLike というアプリは、iOS 版と Android 版の両方が利用可能でした。Apple 社の App Store と Google Play ストアの両方で公開されていましたが、その後どちらのストアからもこのアプリは削除されています。モバイル版のオンラインアプリもあります。
InstLike では、ユーザーが「いいね」とフォロワーの数を無料で獲得できると謳われています。しかし、以前にも警告したように、ソーシャルネットワーク向けに「無料」を謳うこの手のサービスが本当に無料ということはありません。InstLike の場合も、ユーザーは Instagram のログイン情報を入力するよう求められます。本来であれば、Instagram アカウントとのやり取りを必要とするアプリは、ログイン情報を要求するのではなく、Instagram API を使うべきです。
自動プロモーションを目的に Instagram アカウントが乗っ取られる
InstLike サービスに登録すると、自動的に「いいね」を押したり自動的に他のユーザーをフォローしたりする目的のために、Instagram アカウントの外部制御を許可することになります。シマンテックがこのアプリをテストしたところ、テストに使った Instagram アカウントはたちまち、ユーザーによる同意や操作も行われないまま写真に「いいね」を付け始めました。
Instagram で売買される「いいね」とフォロワーの数
InstLike アプリは仮想通貨システムを利用しており、現実世界の通貨で購入するコインと引き換えに Instagram の「いいね」とフォロワーの数を売り込もうとします。コインは、一定金額の米ドルで購入できます。
コイン | 価格 |
コイン 100 枚(最小単位) | 1.00 米ドル |
コイン 5,000 枚(最大単位) | 50.00 米ドル |
図 2. InstLike では Instagram の「いいね」とフォロワーの数が現実世界の通貨で売買される
Instagram の写真に対する 1 回の「いいね」がコイン 1 枚分、1 人のフォロワーがコイン 10 枚分に相当します。
サービス | コスト |
1 回の「いいね」 | コイン 1 枚 |
1 人のフォロワー | コイン 10 枚 |
1 日の有料サービス | コイン 20 枚 |
コイン 20 枚に当たる InstLike の有料サービスでは、独自のハッシュタグを利用して自動的に写真に「いいね」を付けることが可能になるなど、自動の「いいね」機能をさらに細かく調整できます。ただし、ボット的な活動として Instagram から利用停止措置を受けないように、InstLike はハッシュタグの「いいね」を故意に遅らせます。
InstLike アプリをインストールしているかどうかにかかわらず、どの Instagram ユーザーでも、InstLike の特定のコメント文字列を使えば特別に 20 個の「いいね」を獲得することができます。
図 3. コメントを監視することで InstLike が「いいね」を付ける
他のユーザーに InstLike を紹介してコインを稼ぐこともできます。また、コインをさらに増やすために偽の Instagram アカウントを作成する方法までが、YouTube にチュートリアルとしてアップロードされています。
Instagram の実際の数値は自動の「いいね」によってゆがめられている
Instagram 上にある写真のうち 50 万枚近くには、#instlike_com というハッシュタグが含まれており、その結果 900 万以上の「いいね」が自動的に付けられています。ただし、「いいね」の数が上限の 20 に達するとユーザーは InstLike のハッシュタグコメントを削除できるので、InstLike が自動的に付けた「いいね」の総数はもっと多い可能性があります。
Google Play ストアによると、InstLike のインストール数は 100,000 から 500,000 の間でした。Apple 社の App Store では統計が示されていませんが、InstLike アプリは、アプリ内課金によって iOS アプリのトップセールスランキングで 145 位に入っています。比較対象として、人気ゲーム「Temple Run 2」でも iOS アプリのトップセールスランキングで 181 位です。
図 4. iOS アプリのトップセールスランキングに入っている InstLike
Instagram ユーザーが積極的にソーシャルボットネットの一部に
人気歌手のジェイ・Z も言ったように、ソーシャルメディアでは数字は嘘をつきません(Numbers don’t lie)。ユーザーが獲得した「いいね」とフォロワーの数は、ソーシャルネットワークにおける成功や影響力を示すひとつの指標です。「いいね」やフォロワーの数を増やしたいという心理的な欲求は強く、InstLike のようなサービスはまさにその目的に適っていますが、その代償として多大なセキュリティ上のコストが掛かります。ユーザーは自ら進んで、不正なサービスに詳細なログイン情報を提供しており、事実上ソーシャルボットネットの一端を担う結果になっています。
以下のように、InstLike は Instagram の利用規約にも API 利用規約にも違反しています。
お使いのデバイスに InstLike アプリをインストールしている場合には、速やかにアンインストールし、Instagram のパスワードを変更してください。Instagram のパスワードを変更しないかぎり、「いいね」とフォロワーの数の自動追加のためにアカウントが利用されてしまいます。
アカウント情報は、サードパーティ製のいかなるアプリやサービスとも共有しないようにしてください。サードパーティ製のアプリやサービスがアカウント情報やユーザー情報へのアクセスを必要とするのであれば、正規の API と認証プロトコル(OAuth 2.0 など)を利用するべきなのです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Symantec Security Response has discovered many Instagram users have willingly shared their usernames and passwords to a bot-like app in order to increase likes and followers.
Figure 1. InstLike application welcome and login
The applica…