Tag Archives: scam

????????????? Apple ?? App Store ???

日本語のワンクリック詐欺アプリが Google Play に初めて姿を現したのは今年の初めでしたが、その後ほぼ毎日のように新しい亜種が出現するなど、今ではマーケットの常連になっています。同じ詐欺グループが他のモバイルプラットフォームも狙おうとしているのかどうかが気になったため、簡単に調査を実施しました。その結果、他のプラットフォームでワンクリック詐欺は見つかりませんでしたが、Apple 社の App Store でワンクリック詐欺アプリに似た手口を使う巧妙なアプリを発見しました。

このアプリは、起動すると特定の URL にアクセスし、そこにあるコンテンツをアプリ内で表示します。アプリ自体が、詐欺サイトのフレームとして動作しているようなものです。このアプリからは偽の出会い系サービスにリンクしていますが、このようなサイトは日本語で「サクラ」と呼ばれています。アダルトビデオのサービス料金を支払うようユーザーを欺こうとするワンクリック詐欺アプリとは、この点が異なっています。

App Store では、このアプリはゲームとして紹介されていて、英語のページでは確かに出会い系サービスと関係があるようには見えません。
 

image1_2.png

図 1. 英語版の App Store
 

一方、日本語ページの紹介文では、このアプリがアダルト関連であることが示唆されています。日本語ページでは、ユーザーが 18 歳以上でなければならず、また一定期間だけ無料でダウンロードできると説明されています。
 

image2_1.png

図 2. 日本語版の App Store
 

アプリをインストールして起動すると、そのデザインは App Store に似ています。
 

image3_2.pngimage4_0.pngimage5_1.png

図 3. ダウンロード可能なように見えるアプリ
 

デバイスのネットワーク接続を切断してから、もう一度このアプリを起動すると、何もコンテンツは表示されません。インターネットからダウンロードできないからです。
 

image6_0.png

図 4. デバイスがネットワークに接続されていないときの表示
 

このアプリの中に表示されている、実際には存在しないアプリを開くと、デバイスのデフォルトブラウザで、各種の出会い系サービスサイトが表示されます。いずれもホストされているドメインは同じです。このドメインは、Android 版の同じ出会い系詐欺をホストしていることがすでに確認されている点に注目してください。
 

image7_1.png

図 5. 詐欺で使われた出会い系の「サクラ」サイト
 

サービスに登録するとすぐに、実在しない人物から会ってみたいというメッセージがひっきりなしに届きます。実際には、出会い系サービスの運営業者が雇った人から送信されたメッセージであり、このような人々を日本では慣用的に「サクラ」と呼びます。このサイトの最終的な目的は、ユーザーを欺いて、オンラインでのやり取りを続けるためのポイントを購入させることです。ユーザーが実際にサイト上の誰かと会えるチャンスはほとんどありません。以上のことから、このタイプのサイトを日本では「サクラ」サイトと総称しています。被害者がサイトへの登録に使った電子メールアカウントには、あちこちの出会い系サービスからスパムが届くようになる恐れがあります。

この迷惑アプリは、さまざまな理由で明らかに App Store のポリシーに違反しているため、すでに App Store から削除されています。そもそも、このアプリはいったいどうやって承認されたのでしょうか。フレームとして機能するだけなので、承認プロセスの間は別のコンテンツ、おそらくはゲーム関係のコンテンツを表示していたのかもしれません。これは詐欺グループにとっては大きな商売なので、詐欺を拡散するためにさまざまな手法を駆使しています。ダウンロード元にかかわらず、アプリをダウンロードするときには警戒が必要です。

以下のビデオでは、この詐欺の仕組みを紹介しています。ただし、ビデオの撮影に使ったのは Android デバイスです。
 

Default Chromeless Player

<!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–><!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–>

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

“Sakura” Site App on the Apple App Store

Japanese one-click fraud apps on Google Play made their debut at the beginning of the year and have now become a regular on the market as new variants appear on an almost daily basis. I was curious to see whether the scammers had attempted to target other mobile platforms, so I did some investigative work. The result of which was I didn’t find any one-click fraud on other platforms, but I did came across a dodgy app in the Apple App Store that uses a strategy that is similar to one-click fraud apps.

Once opened, the app accesses certain URLs and displays content from them within the app. The app itself pretty much acts as a frame for the fraudulent site. The particular app leads to fake dating services, called “sakura” sites in Japan, rather than one-click fraud apps that attempt to fool users into paying for an adult video service.

The app was introduced on the App Store as a game and certainly does not look like it is related to a dating service on the English page.
 

image1_2.png

Figure 1. English version on the App Store
 

However, the introduction on the Japanese page suggests that the app may have something to do with pornography. The page also states that users need to be over 18 years of age and that the app is available for a free download for a limited time only.
 

image2_1.png

Figure 2. Japanese version on the App Store
 

Once installed and launched, the app’s appearance resembles the App Store.
 

image3_2.pngimage4_0.pngimage5_1.png

Figure 3. Supposedly downloadable apps
 

By turning off the network connection on the device and then reopening the app, no content is displayed in the app because it could not download it from the Internet.
 

image6_0.png

Figure 4. Result of no network connection on the device
 

When the non-existent apps within the app are opened, the default browser on the device opens various dating service sites that are all hosted on the same domain. Interestingly, the domain has been known to host the Android version of the same dating scam as well.
 

image7_1.png

Figure 5. “Sakura” dating site used in the scam
 

Once users sign-up for the service, they will soon be bombarded with messages from non-existent people interested in meeting them. The messages are actually sent from people hired by the operators of the dating service; this type of person is known colloquially in Japan as a “sakura.” The ultimate goal of the sites is to trick users into purchasing points to continue the online conversations. There is little chance that the users will ever be able to physically meet anyone on the site. Hence, this type of site is generally known as a “sakura” site in Japan. The email accounts the victims used to sign up to the site may also end up receiving spam from various dating services.

The offending app is clearly in violation of the App Store policy for various reasons and has been removed from the store. How could the app have been approved in the beginning? Because the app simply acts as a frame, different content, perhaps game related, could have been used during the approval process. As this is big business for the scammers, they devise various strategies to spread their scam. Users need to be vigilant wherever they may be downloading their apps from.

The following video shows how this scam works (note that an Android device was used to capture the video):
 

Default Chromeless Player

<!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–><!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–>

 

????????????? 2013 ??????

      No Comments on ????????????? 2013 ??????

寄稿: Vivek Krishnamurthi

国際的なダンス競技会である「ダンスグランプリヨーロッパ」が 6 月 12 日からスペインで開催されます。この競技会は、さまざまなダンススクールのトップダンサーを披露することを目的として開催される大きなイベントであり、世界中のダンサーたちを惹きつけてやみません。スパマーも同じようにこの舞台に注目し、詐欺メールを拡散する機会を狙っています。
 

image1_0.jpeg

図 1. ダンスグランプリヨーロッパ 2013 を利用したスパム
 

ユーザーの関心を引こうとして、スパムメールでは、このイベントで人気を呼びそうな内容を紹介したうえで、参加費用は「格安」で追加料金もいっさい不要と謳っています。URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。
 

dancescam-fake2.png

図 2. 海賊版の Web サイト。正規サイトと似ているが、連絡先情報(緑の線で囲まれた部分)が異なる
 

dancescam-real.png

図 3. オリジナルの正規のイベント Web サイト
 

注目に値するのは、偽の Web サイトに信憑性を持たせるために、オンラインの訪問者を観測するウィジェットをページの左下に追加し、オンラインユーザー数と称してランダムな数字を表示している点です。このスパム攻撃の主な動機は、ユーザーを誘い出してその個人情報や口座情報を手に入れることにあります。十分に注意を払い、リンクはクリックしないようにしてください。

このスパム攻撃で確認されている件名の例を以下に挙げます。

  • 件名: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.(ダンスグランプリヨーロッパ、2013 年 6 月 12 日から 16 日まで開催。世界中のダンススクールやグループが競う)
  • 件名: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.(グランプリはスペインで開催。ダンススクールとグループのための競技会、2013 年 6 月 12 日から 16 日まで)
  • 件名: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!(ダンスグランプリヨーロッパ、2013 シーズン開幕のお知らせ! ホリデーシーズンを前に、記念すべき「2013 ダンス年」を祝してあなた自身にも、スクールやグループにも贈り物はいかがですか。ヨーロッパダンス競技会の参加予約は、今すぐ!)

ダンスグランプリヨーロッパ 2013 にちなんだ迷惑メールや心当たりのない電子メールの扱いには注意して、スパム対策のシグネチャは定期的に更新するようにしてください。シマンテックでも、最新の脅威に関する最新の情報をユーザーのみなさんにお届けできるよう、24 時間 365 日の態勢でスパムを監視しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Scammers Take Advantage of Dance Grand Prix Europe 2013

Contributor: Vivek Krishnamurthi

The International Dance Competition “Dance Grand Prix Europe” is set to begin June 12 and will be hosted in Spain. The purpose of the competition is to showcase all the top dancers from various dance schools and this major event attracts choreographic talent from around the world. Spammers also don’t want to miss this event and the opportunity to circulate a scam.
 

image1_0.jpeg

Figure 1. Dance Grand Prix Europe 2013 spam
 

To grab the reader’s attention, the spam email reveals some appealing facts about the event along with “only a little fee” required but no additional charges for participation in the event. Clicking the URL will automatically redirect the user to a website containing a bogus offer.
 

dancescam-fake2.png

Figure 2. Pirated website looks like original, changed contact information (green box)
 

dancescam-real.png

Figure 3. Original and legitimate event website
 

Interestingly, to trick users into trusting the fake website, spammers also added a widget at the bottom left of the page that monitors online visitors and displays a random number of users online. The main motive of these spam campaigns is to lure recipients and acquire their personal and financial information. Users should be careful and avoid clicking the links.

Some of the subject lines observed in this spam campaign include the following:

  • Subject: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.
  • Subject: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.
  • Subject: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!

Symantec advises users to be cautious when handling unsolicited or unexpected emails related to the Dance Grand Prix Europe 2013 and to update antispam signatures regularly. Symantec also monitors spam attacks around-the-clock to ensure users are kept up to date on the latest threats.

Syrian Crisis Reminds Us to Beware of ‘Charity’ Scams

The dismal situation in Syria has gained considerable sympathy in the rest of the world. Unfortunately, playing on our emotions is a typical strategy of cybercriminals. Today I received an email calling for donations to be made to the United Nations High Commissioner for Refugees (UNHCR) to help Syrian refugees. This mail appeared very professional Read more…

Make money fast via torrents

      No Comments on Make money fast via torrents

Several months ago I wrote a blog post about an adware downloader which after execution downloaded a few adware programs and installed them on the computer, giving no chance for the user to skip or bypass their installation. This time, we will analyze an application, which installs similar types of adware programs on user computers. […]

??????? – ??? 2: ????? Facebook ??????????????????

この数週間に、Google Chrome の拡張機能をインストールするようユーザーを誘う詐欺が Facebook 上でいくつも確認されています。このような詐欺は、あちこちで話題になっているようですが、詐欺師の投稿した写真を削除する方法や、詐欺の拡散を食い止める方法は知られていません。なかには、あきらめて Facebook プロフィールを作り直してしまうユーザーもいますが、そこまでする必要はありません。

万一こうした詐欺に引っかかってしまった場合のために、ブラウザと Facebook のタイムラインを正常な状態に戻す方法をご紹介しておきます。
 

不正なブラウザ拡張機能を削除する

Facebook Blackプロフィールスパイ(「See Your Profile Viewers(プロフィールを表示した人がわかる)」という名前です)、「無料 PS4」といった Chrome 拡張機能をインストールしてしまった場合には、ブラウザからアンインストールする必要があります。

  1. Google Chrome を開きます。
     
  2. ブラウザのアドレスバーに「chrome://extensions」と入力します。
     
    image1_0.png
     
  3. ごみ箱アイコンをクリックして不正な拡張機能を削除します。
     
    image22.jpg
     
  4. 確認ダイアログボックスで[削除]をクリックします。
     
    image33.jpg
     

Google Chrome の[拡張機能]ページを見れば、インストールされている不正な拡張機能を判別できます。上図の例では、「Get PS4」と「See Your Profile Viewers」という拡張機能がインストールされていることがわかります。

不正な拡張機能を削除するには、ごみ箱アイコンをクリックして確定するだけです。
 

不要な Facebook ページを削除する

問題の Chrome 拡張機能は、ユーザーのプロフィールを使って Facebook ページを作成する場合があります。詐欺 Facebook ページが自分のアカウントで作成されたものかどうかを確認し、削除する必要があります。

  1. 自分の Facebook プロフィールで、右上の歯車アイコンをクリックし、変更したいページを選択します。
     
    image4.jpg
     
  2. Facebook ページが表示されたら、一番上の[Facebookページを編集]をクリックします。
     
  3. [権限の管理]を選択します。
     
    image5.jpg
     
  4. 一番下の[(ページ名)を完全に削除する]をクリックします。
     
    image6.png
     
  5. [削除]をクリックして Facebook ページを完全に削除します。
     
    image7.png
     

上の例でもわかるように、ランダムに作成された Facebook ページが詐欺師によって使われていることが確認されています。詐欺 Facebook ページを完全に削除してしまえば、友達を詐欺師によってタグ付けされるのを防ぐことができます。

ページを削除すると、メインの Facebook プロフィールに戻ります。
 

詐欺師による投稿を Facebook タイムラインから削除する

詐欺の拡散を続けるために、問題の Chrome 拡張機能は JavaScript ファイルをダウンロードしています。これらのファイルが、友達を写真にタグ付けしてニュースフィードで広めるなど、詐欺師の活動の実行に関与しています。

最後の手順では、不正な拡張機能によってなりすまし投稿された写真を削除して、Facebook のタイムラインを正常な状態に戻します。

  1. 自分のプロフィールのタイムラインに移動します。
     
  2. タイムラインを下にスクロールして、詐欺師が投稿した写真がないか確認します。
     
  3. 該当するタイムラインの記事で、鉛筆アイコンをクリックします。
     
  4. [写真を削除]を選択します。
     
    image8.png
     

詐欺師によって投稿された写真をタイムライン上で削除すると、詐欺の拡散防止につながります。

ところで、タイムライン上に詐欺師が投稿した写真に、自分がタグ付けされている場合もあります。その場合は、詐欺として Facebook に報告してください。

  1. 該当するタイムラインの記事で、鉛筆アイコンをクリックします。
     
  2. [タグを報告または削除]を選択します。
     
    image9.png
     
  3. [タグの削除を希望します]と[Facebookからの削除を希望します]のチェックボックスにチェックマークを付け、[スパムです]を選択します。
     
    image10.png
     
  4. [続行]をクリックして確定します。
     

以上の手順で、ブラウザから不正な拡張機能を削除し、Facebook プロフィールのタイムラインを正常な状態に戻して、詐欺師による投稿をスパムとして報告できましたので、友達も同じようにブラウザと Facebook タイムラインを掃除できるように、このブログのことを教えてあげてください。
 

今後も油断は禁物

以上の正常化の手順は、Google Chrome 拡張機能を悪用して Facebook 上で拡散している詐欺の削除に有効です。しかし、前回も指摘したように、詐欺師は執拗です。手を変え品を変え、同様の行為は続くことでしょう。ソーシャルネットワークでは今後も注意を怠らず、無料商品や特別機能につられてブラウザ拡張機能をインストールすることのないようにしてください。

シマンテック製品をお使いのお客様は、IPS シグネチャ Web Attack: Fake Facebook Application 3 によってこの手の攻撃から保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????? – ??? 1: ????????????????????????????

シマンテックは昨年、Facebook で流行している詐欺とスパムについてのホワイトペーパー(英語)を公開しました。ソーシャルネットワーク詐欺では、ユーザーを欺くために、使い古されたワナが再利用されることも少なくありません。無料商品の広告や、ソーシャルネットワークにまだ実装されていない機能の追加などが定番ですが、違う点は、特定のリンクに注目を集める新しい方法が使われていることです。「いいね」機能の悪用でも、ユーザーを誘導してブラウザのアドレスバーにコード(外部の JavaScript ファイル)を貼り付けさせる手口でも、詐欺師は執拗です。

ごく最近も、Facebook Black 詐欺の拡散についてこのブログでご報告したばかりです。この詐欺の拡散が続くなか、シマンテックは古いワナが 2 つ再利用されていることを確認しました。また、エンドユーザーにインストールを促す 2 つの Google Chrome 拡張機能が同一であることも判明しています。
 

「追加機能」のワナ

ソーシャルネットワークのユーザーは、新規機能の追加を要求することが多く、お気に入りのサイトに機能が実装されるかどうかを気にします。さまざまなソーシャルネットワークで特に要求の多かった機能のひとつに、自分のプロフィールにアクセスした人を知る方法があります。そういった機能が実装されていない場合も多く、それだけに、人気のあるソーシャルネットワークではこれまでに何度も詐欺に利用されています。
 

image1.png

図 1. 機能の追加を謳う、写真タグ付けスパム
 

実際、このワナはソーシャルネットワークで頻繁に見かけるもので、先日お伝えした Facebook Black 詐欺で使われたものと同一です。ユーザーは Facebook ページ上の iFrame を介してリダイレクトされ、Google Chrome の拡張機能をインストールするよう促す Web サイトに誘導されます。
 

image2.jpg

図 2. 新機能を追加すると称するブラウザの拡張機能
 

この拡張機能をインストールしても何も起こりません。新機能を使えるようにするためにはアンケートに答えるよう促すフォームが表示されるだけで、回答しても、その機能が使えるようになることはありません。アンケートの回答があるたびに、詐欺師の手元に儲けが転がり込むだけです。
 

image3.jpg

図 3. 詐欺アンケート
 

「無料提供」のワナ

本音を言えば、誰しも「無料」には弱いものですが、ソーシャルネットワークで見かける「無料提供」が実際に無料だったためしはありません。ユーザーが欲しがるのは、きまって最新の商品であり、詐欺師もそれをよく知っています。古いワナが何度でも再利用される理由も、まさにここにあります。
 

image4.png

図 4. 無料で商品を提供すると称する Web ページ
 

たとえば、ソニー社が 2 月に新型ゲーム機「PS4」を発表しました。PS4 が店頭に並ぶのは早くとも今年の年末商戦ですが、詐欺師はすかさず、PS4 のテストに参加すればテスト機をそのまま無料で提供するという煽りでユーザーを欺こうとしています。
 

image5.png

図 5. 無料で商品を獲得できると称するブラウザ拡張機能
 

この詐欺の Web ページでは、PS4 を無料で手に入れるためのクーポン券をもらえると宣伝されています。そんなクーポン券はもちろん存在せず、詐欺師が作成したブラウザ拡張機能があるだけです。

この拡張機能をインストールすると、JavaScript ファイルがユーザーのコンピュータにダウンロードされます。複数の JavaScript ファイルによって、ユーザーの Facebook アカウントでさまざま操作が実行されてしまいます。iFrame を使った Facebook ページを作成したり、写真を投稿してユーザーの友達をタグ付けしたり(最初に挙げた図 1)といった手口です。こうして、この詐欺は拡散していきます。
 

保護対策

シマンテック製品をお使いのお客様は、IPS シグネチャ Web Attack: Fake Facebook Application 3 によってこの手の攻撃から保護されています。

ソーシャルネットワークで無料を謳う商品を見かけたら、特にそれが人気の高い商品であるほど、十分に注意してください。ソーシャルネットワークで現在利用できない機能があるとしたら、利用できないそれなりの理由があるのです。発行元が検証されていないブラウザ拡張機能はインストールしないようにしてください。無料商品の提供や、未実装の機能の追加を謳ったりしている場合は言うまでもなく、ソーシャルネットワークで盛んに宣伝されている場合には特に疑ってかかりましょう。

Google 社でも、悪質な Chrome 拡張機能は見つけしだい削除しており、マルウェアを含んだ項目を検出する自動システムの改良にも取り組んでいます。

次回のブログでは、こういった詐欺に関連したブラウザ拡張機能を削除する方法について説明し、Facebook のタイムラインから詐欺師の残したスパムをすべて削除する方法について解説します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Social Scams – Part 2: How to Clean Up Your Browser and Facebook Timeline

During recent weeks, I have seen different scams on Facebook attempt to convince users to install Google Chrome extensions. I have noticed some conversations taking place around the scams; people not sure how to get rid of the scammer photos or how to prevent the scams from spreading further. Some users have unfortunately  gone as far as creating new Facebook profiles for themselves. This is not necessary.

If you have been tricked by one of these scams, here is how you can clean up your browser and Facebook timeline:
 

Remove bad browser extensions

If you have installed the Chrome extension for Facebook Black, Profile Spy (“See Your Profile Viewers”), or Free PS4, you will need to uninstall it from your browser:

  1. Open the Google Chrome browser.
     
  2. Type chrome://extensions into the browser address bar.
     
    image1_0.png
     
  3. Click the trash can icon to delete bad extensions
     
    image22.jpg
     
  4. Click Remove at the confirmation dialog
     
    image33.jpg
     

The Google Chrome extension page can help you identify any bad extensions that you have installed. In this preceding example you can see both the “Get PS4” and “See Your Profile Viewers” extensions that have been installed.

To delete a bad browser extension, just click the trash can icon and confirm.
 

Remove unwanted Facebook pages

The preceding Chrome extensions may be responsible for creating Facebook pages using your profile. Now you should confirm whether or not scammer Facebook pages were created in your account and then remove them:

  1. Click the gear icon at the top right corner of your Facebook profile and select the page you wish to modify.
     
    image4.jpg
     
  2. Once the Facebook page has loaded, click Edit Page at the top.
     
  3. Select Manage Permissions.
     
    image5.jpg
     
  4. Click Permanently delete [NAME OF PAGE] at the bottom.
     
    image6.png
     
  5. Click Delete to permanently remove the Facebook page.
     
    image7.png
     

As you can see in this preceding example, a randomly created Facebook page was found being used by scammers. You can prevent friends from being photo-tagged with scammer spam by permanently deleting these scammer Facebook pages.

After page deletion you should arrive back at your main Facebook profile.
 

Remove scammer posts from your Facebook timeline

In order to keep the scam in circulation, the previously mentioned Chrome extensions have downloaded JavaScript files. These files were responsible for performing scammer activity, including tagging your friends in photos to promote the scam in news feeds.

The last step is to remove the photos the scam extension has posted on your behalf and get a clean Facebook timeline:

  1. Go to your profile timeline.
     
  2. Scroll through your timeline to check for photos published by the scam.
     
  3. Hover over the timeline story item and click the pencil icon.
     
  4. Select Delete Photo.
     
    image8.png
     

Deleting the photos left by scammers on your timeline helps stop promotion of the scam.

However, in another scenario, you may be the one who is tagged by a scammer photo in a timeline. In that case, you should report the scam to Facebook:

  1. Hover over the timeline story item and click the pencil icon.
     
  2. Select Report/Remove Tag.
     
    image9.png
     
  3. Check I want to untag myself and I want this photo removed from Facebook and select It’s spam.
     
    image10.png
     
  4. Click Continue to confirm.
     

And now that you have removed bad extensions from your browser, cleaned up your Facebook profile timeline, and reported scammer spam, point your friends to this blog post so that they can clean up their own browsers and Facebook timelines.
 

Don’t forget to stay vigilant

These clean-up instructions will help you remove scams circulating on Facebook that involve Google Chrome extensions. But, as mentioned before, scammers are relentless; they are likely to change their tactics again and again. Proceed with caution on social networks and avoid installing any browser extensions in exchange for free products or special features.

Symantec customers are protected against these types of attacks by our Web Attack: Fake Facebook Application 3 IPS signature.

Social Scams – Part 1: Reusing Old Scams to Push Browser Extensions

Last year, we talked about scams and spam circulating on Facebook in our whitepaper. Social networking scammers often reuse common lures to trick users, such as offering free products or additional features that are not available on their network of choice. What these scammers do differently is find new ways to get more eyeballs to view their specific links. Whether it is likejacking or even convincing users to paste code (an external JavaScript file) into the browser address bar, these scammers are relentless.

Just recently, we published a blog about the Facebook Black scam that has been spreading. While that scam continued to spread, we found two old lures being reused, and also two identical Google Chrome extensions being pushed onto the end user.
 

“Additional feature” lure

Users of social networks have often requested certain features and wondered whether they would ever be implemented on their favorite sites. One of the most commonly requested features across all social networks has been a way to see who has visited one’s profile. This feature has never been available, yet this lure has been used in scams across many of the most popular social networks over the years.
 

image1.png

Figure 1. Photo-tagging spam claiming additional feature
 

In fact, this lure—commonly found on social networks—is identical to the one used in the Facebook Black scam we posted about recently. Users are redirected through an iFrame on a Facebook page and then taken to a website where they are enticed to install a Google Chrome extension.
 

image2.jpg

Figure 2. Browser extension claiming additional feature
 

Installing the extension does nothing—except present the user with a set of surveys to fill out in order to unlock the additional feature. The feature never gets unlocked. The only thing that happens is the scammers make money off of every survey completed successfully.
 

image3.jpg

Figure 3. Scammer survey
 

“Get something free” lure

Let’s face it: people like free stuff. But free stuff on social networks is not really free. The newest products are the most valued by users and scammers know this. This is why they continue to reuse this lure.
 

image4.png

Figure 4.  Web page claiming to get something free
 

For instance, in February Sony announced their new video game console, PS4. It is not scheduled to arrive in stores until the year-end holiday season. However, that has not stopped scammers from attempting to trick users by offering a free PS4 test unit that they can keep.
 

image5.png

Figure 5. Browser extension claiming to get something free
 

The Web page for this scam claims that users can get a voucher for a free PS4. In reality, there is no voucher. There is just a browser extension created by scammers.

When users install this browser extension, JavaScript files are downloaded onto the user’s computers. These files then perform various actions in the user’s Facebook account, like creating a Facebook page with an iFrame and posting a photo the user’s friends are subsequently tagged in (see previous Figure 1). And this is how the scam spreads.
 

Protection

Symantec customers are protected against these types of attacks by our Web Attack: Fake Facebook Application 3 IPS signature.

Be cautious when you see offers for free products on social networks, especially products that are highly sought after. Also, if a feature is not currently available on a social network, chances are there is a reason that it is not available. Do not install browser extensions from unverified sources—even if they offer free products or access to an unavailable feature—and be especially suspicious of anything that is promoted aggressively on your social networks.

Google, for their part, removes malicious Chrome extensions as they find them and are improving their automated systems to help them detect items containing malware.

However, in the next post we provide instructions on how to remove these scammer browser extensions yourself, and how to clean up your Facebook timeline from all the spam left by scammers.