Tag Archives: SnapChat

Hacked Snapchat accounts use native chat feature to spread diet pill spam

Compromised Snapchat accounts have sent out photo messages of a box of Garcinia Cambogia, followed by a chat message with a suspicious link containing ‘groupon.com’ in the URL.

Contas hackeadas do Snapchat usam recurso nativo de chat para disseminar spam de pílulas para emagrecimento

Compromised Snapchat accounts have sent out photo messages of a box of Garcinia Cambogia, followed by a chat message with a suspicious link containing ‘groupon.com’ in the URL.

As Snapchat Adds Native Chat Functionality, Expect Spammers to Adapt

Earlier today, photo-messaging application Snapchat unveiled new features that enable users to chat directly within the application, a frequently requested feature. The addition of this feature, while an improvement, provides the individuals responsible for Snapchat spam a new feature to play with in their efforts to target users of the service.

History of Snapchat Spam

Chat Snapchat 1.png

Figure 1. Previous iterations of porn and dating spam on Snapchat

We have written numerous blogs about the rise of Snapchat spam over the last six months. The common thread in each of these spam campaigns was that they were all hindered by the lack of chat functionality. This roadblock presented a challenge to spammers, which led to a common workaround. Each of the spam “snap” messages sent to users featured a caption that asked them to manually perform one of the following actions:

  • Add an attractive girl on Kik messenger
  • Visit a website intended to push diet spam
  • Inform them that they won a gift card or prize that could only be redeemed at an external website

Chat Snapchat 2.png

Figure 2. Previous iterations of diet spam on Snapchat

The Future of Snapchat Spam

Now that the chat functionality is native to Snapchat, spammers can remain within the application itself and tailor their spam to work with this new functionality in mind. They can start building chat bots that communicate directly with Snapchat users or find new ways to trick users into clicking on links.

Restrictions on Sharing Links

Chat Snapchat 3.png

Figure 3. Comparison of sharing links through Snapchat’s “Chat” feature

While spammers can send links within chat messages, the way they appear to the recipient can vary. For messages from non-friends, the links cannot be clicked on. For messages from friends, the links are active and clickable.

Understand that spammers are determined and will find ways to adapt. For instance, a spam campaign could begin with an initial photo message of a scantily clad woman that offers “sexier pictures” if a user adds them as friends to ensure that their links would be clickable as the campaign continues.

Review your privacy settings

Now would be a good time to review your Snapchat privacy settings and make sure that only your friends can send you snaps. Please note that even if you restrict who is allowed to send you snaps, you can still receive friend requests from spammers.

We’re keeping an eye out for new spam campaigns using this new feature and we think you should too. Tweet us @threatintel if you come across new Snapchat spam.

???????????????????? Snapchat ????????

      No Comments on ???????????????????? Snapchat ????????

写真共有アプリ Snapchat を利用したスパムの最近の傾向として、フルーツやフルーツ系ドリンクのスパム写真がユーザーの連絡先に送信されるケースが増えています。写真のリンク先は、「Frootsnap」や「Snapfroot」という Web サイトです。

Snapchat Fruit 1 edit.png

図 1. Snapchat 上のフルーツスパム

シマンテックは数カ前から Snapchat スパム追跡していますが、偽アカウントからではなく実在するユーザーのアカウントからスパムが送信されたのは、今回が初めてです。アカウントが危殆化してダイエットスパムを送信させられているのです。

Instagram をお使いであれば、昨年の夏に同様の攻撃活動があったことを思い出されるかもしれません。大量のアカウントが危殆化し、奇跡のダイエットフルーツという謳い文句で今回と同じような画像やメッセージが投稿されたことがありました。

frootsnap.com または snapfroot.com という Web サイトにアクセスさせられた Snapchat ユーザーは、偽のページにリダイレクトされます。これは Groupon の商品案内サイトに似たテンプレートをコピーしたページで、30 日分の減量サプリメントを無料進呈するとも書かれています。典型的なダイエット薬品スパムです。

Snapchat Fruit 2.png

図 2. 減量サプリメントを進呈すると謳う Web サイト

このサイトは Groupon とアフィリエイト関係があるわけではなく、信憑性を持たせるために「いいね」ボタンが設置されています。無料のサプリメントをもらおうとすると、securehlthbuyer.com という 2 番目のサイトにリダイレクトされます。このサイトは securebuyerpath2.com という、過剰な請求をめぐって苦情が寄せられているサイトと関連しています。

現時点で、シマンテックは正規のアカウントが危殆化した経緯を確認していません。シマンテックは、このブログを公開する前に Snapchat 社に連絡して調査に協力しています。調査は今も継続中ですが、Snapchat 社からは以下の声明が届いています。

「Snapchat において昨日、ユーザー数は少ないながらも、そのアカウントから不審な写真が送信されるというスパム事案が発生しました。弊社セキュリティチームはアカウントを保護するための措置を追加しました。悪用を避けるために、強力かつ固有のパスワードをお使いください」

また、スパムメッセージを止めようとして Snapchat アプリを端末から削除したが、スパムは止まらなかったというユーザーの報告も受けています。自分のアカウントからこのようなスパムメッセージが送信されていることを確認した場合は、ただちにパスワードを変更するのが最善の対策です。

Snapchat Fruit 3.png

図 3. Snapchat のパスワードの変更方法

Snapchat のパスワードを変更するには、Snapchat の Web フォームまたはアプリ内で、[Settings]の[Support]セクションに進んでください(図 3)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Snapchat Fruit Spam Delivered by Real, Compromised Accounts

In the latest Snapchat spam developments, an increasing number of the photo-sharing app’s users have been sending out spam pictures of fruits or fruit-based drinks to their contacts, which directs them to websites called “Frootsnap” and “Snapfroot”.

Snapchat Fruit 1 edit.png

Figure 1. Fruit spam on Snapchat

While Symantec has been tracking Snapchat spam for months, this is the first case in which the spam does not originate from fake accounts, but those belonging to real users. These accounts have been compromised to push diet spam.

Instagram users might recall similar campaign last summer, where a number of accounts were compromised to post similar images and messages, extolling the virtues of a miracle diet fruit.

Snapchat users visiting the websites frootsnap.com or snapfroot.com will be redirected to a fake page which has copied the template similar to a Groupon deal website. The page also claims to offer a free 30-day supply of a weight-loss supplement, commonly referred to as diet pill spam.

Snapchat Fruit 2.png

Figure 2. Website claims to offer weight-loss supplements

The site has no affiliation with Groupon, but uses its likeness to make the offer seem legitimate. If users try to redeem these free pills, they are redirected to a secondary site called securehlthbuyer.com. This site has been associated with securebuyerpath2.com, which has received complaints about excessive charges.

As of now, Symantec does not know how the legitimate accounts were compromised. We reached out to Snapchat before this blog was published to assist them in their investigation, and while we continue to work with them, they provided us with the following statement:

“Yesterday a small number of our users experienced a spam incident where unwanted photos were sent from their accounts. Our security team deployed additional measures to secure accounts. We recommend using unique and strong passwords to prevent abuse.”

We also came across reports of Snapchat users deleting the app from their phone hoping the spam messages would cease. However, this will not stop the spam. If your account has been caught sending out these spam messages, the best thing to do is to change your password immediately.

Snapchat Fruit 3.png

Figure 3. How to change your Snapchat password

You can change your Snapchat password through the Snapchat web form or through the application itself, by navigating to the Support section under Settings, as shown in Figure 3.

Snapchat ???: ????????????????????????????????

このブログで、Snapchat ユーザーを狙うポルノスパムと「隠れファン」スパムを取り上げてから数週間が経過しましたが、今度は性的に思わせぶりな写真に加えて、危殆化したカスタム URL を使う新しいスパム攻撃が Snapchat 上で出回っています。
 

image1_21.png

図 1. Snapchat スパム
 

スパムメッセージにはそれぞれ、モバイルデバイス用 Kik インスタントメッセージアプリ上の特別に細工されたユーザー名と、「Add my kik(Kik を追加)」というリンクが含まれています。
 

image2_12.png

図 2. デジタルカメラを構えた Snapchat は罠
 

Kik Messenger でこのようなスパムボットに応答すると、このスパム攻撃では昨年の夏頃にシマンテックが Tinder で発見したのと同じようなスパムチャットボットのセリフが使われます。
 

image3_12.png

図 3. Kik と同様のチャットのセリフを使うスパムボット
 

この攻撃で確認された興味深い特徴として、小規模な Web サイトや人気ブランドが所有しているカスタム URL が危殆化して利用されているという点が挙げられます。スパマーは、ユーザーに偽の安心感を植え付けるために、ブランド名の入った短縮ドメインを使って独自のリンクを作成するという方法を使用しているのです。
 

image4_6.png

図 4. 有名ブランド名の入った短縮ドメインがユーザーをスパムに誘導
 

危殆化したブランド名入りの短縮ドメインとして、これまでに特定されている例を以下に示します。

  • usat.ly(USA Today)
  • cbsloc.al(CBS Local)
  • on.natgeo.com(National Geographic)
  • nyp.st(New York Post)
  • on.mktw.net(Marketwatch)
  • mirr.im(Daily Mirror)
  • red.ht(Red Hat)
  • invstplc.com(Investorplace)
  • mitne.ws(MIT News)

image5_4.png

図 5. 危殆化した短縮 URL の統計ページ
 

ブランド名の入ったカスタム URL にはアフィリエイトマーケティング用のリンクが設定されており、ユーザーはアダルト向け Web カメラサイトの登録ページに誘導されます。

シマンテックは Bitly 社と緊密に連携して、ブランド名の入った短縮 URL のスパム利用を調査し、見つかりしだい停止しています。Bitly 社によると、さまざまなブランドに帰属する Bitly API キーを入手したスパマーが存在するのは間違いないということです。影響を受けているブランドの一部は、AddThis というソーシャルブックマークサービスを利用していました。AddThis は、最近になって AddThis Web サイト埋め込みコードの一部として API キーを平文で公開するようユーザーに求めることを中止しています。
 

image6_1.png

図 6. API キーの安全性に関する AddThis サポートページの注意書き
 

API キーを一般に公開すると、誰でもアカウントを危殆化できるようになり、この場合には他者のドメインを使って短縮 URL を作成できることになります。

AddThis サービスをお使いの場合は、こちらのサポート記事で API キーの保護方法を参照してください。Bitly をお使いの場合は、Bitly API のベストプラクティスに従って、API キーのセキュリティを保証する必要があります。

Snapchat ユーザーを標的とする最近のスパム活動は、特に驚くことでもありません。詐欺師やスパマーは、人気のある新しいアプリをいつでも狙っています。Snapchat も同様で、ユーザー規模が十分に大きくなれば、たちまち標的になります。Snapchat のフィードにスパムスナップが表示されないようにするには、Snapchat のプライバシー設定を変更してスナップを「My Friends(友人)」からのみ受け取るようにすることをお勧めします。もちろん、迷惑メッセージや友人申請を受け取ったときには十分に注意してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Snapchat Spam: Sexy Photos Lead to Compromised Branded Short Domains

A few weeks after our blog post about porn and secret admirer spam targeting Snapchat users, a new spam campaign using sexually suggestive photos and compromised custom URLs is circulating on the photo messaging app.
 

image1_21.png

Figure 1. Snapchat spam
 

Each of these spam messages includes a request to “Add my kik”, along with a specially crafted user name on the Kik instant messaging application for mobile devices.
 

image2_12.png

Figure 2. Snapchat with a digital camera? It’s a trap!
 

After engaging these spam bots on Kik Messenger, this spam campaign is using a type of spam chat bot-script we discovered on Tinder last summer.
 

image3_12.png

Figure 3. Spam bot using a familiar chat script on Kik
 

An interesting discovery from this campaign is the use of compromised custom URLs belonging to small websites and popular brands. Spammers have found a way to create their own links using branded short domains in order to entice users into a false sense of security.
 

image4_6.png

Figure 4. Well-known branded short domain directs users to spam
 

The following are some of the compromised branded short domains we identified:

  • usat.ly (USA Today)
  • cbsloc.al (CBS Local)
  • on.natgeo.com (National Geographic)
  • nyp.st (New York Post)
  • on.mktw.net (Marketwatch)
  • mirr.im (Daily Mirror)
  • red.ht (Red Hat)
  • invstplc.com (Investorplace)
  • mitne.ws (MIT News)

image5_4.png

Figure 5. Stats page for compromised short URL
 

Hidden behind the branded customized URLs are affiliate marketing links directing users to sign-up for adult webcam sites.

Symantec has been working closely with Bitly to investigate and shut down any spammer use of branded short URLs. Bitly has confirmed that some spammers obtained Bitly API keys belonging to various brands. Some of the brands affected used the AddThis social bookmarking service who recently stopped requiring users to reveal their API key in plain text as part of the AddThis website embed code.
 

image6_1.png

Figure 6. Note from AddThis support page regarding API key safety
 

Public exposure of API keys gives anybody the ability to compromise accounts and, in this case, create short URLs using other people’s domains.

Users of the AddThis service should refer to this support article on how to secure API keys. Bitly javascript:void(0);users should follow Bitly API best practices to ensure the security of API keys.

The recent spam campaign targeting Snapchat users should not be surprising. Scammers and spammers will always target new and popular apps—like Snapchat—as soon as they gain a large enough user base. To prevent spam snaps from appearing in your Snapchat feed, Symantec recommends users change their Snapchat privacy settings to receive snaps from “My Friends” only and use caution when receiving unsolicited messages or friend requests.

???????: Snapchat ????????????????????????

      No Comments on ???????: Snapchat ????????????????????????
この 1 週間というもの、フォトメッセージアプリ Snapchat のユーザーは、スパムスナップ(Snapchat では写真をスナップと呼ぶ)の数が急増したことにお気付きのことでしょう。Snapchat サービスには現在、無数のスパムアカウントが入り込んでいて、胸を露出した女性のスパムスナップがばらまかれています。
 
figure1_4.png
図 1. Snapchat 上のスパムアカウント
 
Snapchat ユーザーの元には今、「[女性の名前]snap_####」という形式の似たような名前のアカウントから次々と申請が届いています。どの申請にも、スパムアカウントから保留中のスナップが添付されています。Snapchat アプリにはプライバシー設定があり、友人からのスナップのみを受け付ける設定も可能ですが、それでも不明なユーザーから追加申請は届きます。シマンテックが確認した一部の Snapchat ユーザーからも、この 1 週間でこうした申請が増えたという指摘がありました。
 
figure2_1.png
図 2. 胸を露出した女性が写っているスパムスナップの例
 
このような申請を承認すると、裸の女性のスパムスナップが送られてきます。写真は同じではありませんが、どのスナップにも「Add me on KIK for nudes swap(Kik に私を追加して、ヌード写真を交換しましょう)」というコメントがあり、モバイルデバイス用のインスタントメッセージアプリ Kik Messenger のユーザー名が添えられています。
 
Kik Messenger に切り替えると、スパマーにポルノボットを利用する隙を与えてしまいます。これは、ヌード写真をもっと送ると約束する所定のセリフを使ってユーザーとのつながりを持とうとするスパムアカウントです。
 
ポルノボットが謳っているヌード写真を見るためには、先にモバイルアプリをインストールするためのリンクをタップしなければなりません。ユーザーが間違いなくそのアプリをインストールしたことを確かめるために、ボットは、写真を送る前に証拠としてアプリのスクリーンショットを送信するよう求めてきます。
 
figure3_1.png
図 3. Kik Messenger 上のポルノボットの例
 
リンクをタップすると、アフィリエイトプログラムを通じて何回かリダイレクトが発生し、最終的には Apple 社の iOS App Store や Google Play ストアに登録されているゲームのページに移動します。移動先のアプリのひとつに、Snapchat スパムについて言及しているレビューがありました。
 
figure4_0.png
図 4. App Store のレビューで指摘されている Snapchat スパム
 
これらのスパムは、インストールが実行されるたびに報酬が支払われるアフィリエイトプログラムを通じて儲けを上げる仕組みになっています。チャットのセリフの中でポルノボットがインストールの証拠を求めているのもこのためです。シマンテックの調査によると、複数の短縮 URL で少なくとも 30,000 件のクリックスルーが発生しましたが、複数の短縮 URL を使って複数の攻撃が行われている可能性を考えると、この数字はさらに多くなるかもしれません。
 
以前のブログ(リンク 1リンク 2)でも指摘したように、サービスの人気が上がると、スパマーはそれを見逃しません。Snapchat では毎日 3 億 5,000 万件ものメッセージが送信されているので、スパマーが狙うのも当然です。
 
ポルノスパムとは別に、「secret admirer(隠れファン)」というエサを使って Snapchat ユーザーを狙い、SnapCrush という Web サイトに誘導しようとするスパム攻撃も出現しています。この Web サイトはユーザー名を収集し、同じように一連のアフィリエイトプログラムを通じてユーザーをリダイレクトします。ユーザーを欺いてモバイルアプリをインストールさせるという目的も同じです。
 
figure5.png
図 5. Snapchat 上の新たなスパム攻撃
 
今のところ、Snapchat ユーザーがアプリ内からこのようなアカウントをスパムとして報告できる機能はありません。当面の間、スパムアカウントを報告するには、Snapchat のサポートサイトで「Report Spam」セクションを利用してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spamchat: Snapchat Users Subjected to Porn and Secret Admirer Spam

Over the past week, users of the photo messaging application Snapchat have seen an increase in the number of spam snaps (Snapchat pictures). The service is now being infiltrated by a myriad of fake accounts sending spam snaps of topless women.
 
figure1_4.png
Figure 1. Spam accounts on Snapchat
 
Snapchat users are currently receiving requests from accounts named similarly, using the following format: “[GIRL’S NAME]snap_####”. Each request features a pending snap from these spam accounts. Despite the app offering privacy settings to only allow snaps from friends, users can still receive add requests from unknown users. Some Snapchat users we spoke to have noticed an increase in these requests over the last week.
 
figure2_1.png
Figure 2. An example of a spam snap with a topless woman
 
If a user accepts one of these requests, they will receive a spam snap of a nude woman. While the photo may vary, each snap includes the caption, “Add me on KIK for nudes swap ;)” along with a username on Kik Messenger, an instant messaging application for mobile devices.
 
Moving to Kik Messenger gives spammers the opportunity to leverage porn bots, fake accounts that engage with users by using a predefined script that promises more nude photos.
 
The porn bot offers more nude photos, but only if the user clicks on a link to install a mobile application first. To make sure the user installs the application, the bot requires proof and requests a screenshot from the app before sending more nude photos.
 
figure3_1.png
Figure 3. An example of a porn bot on Kik Messenger
 
If a user clicks on the link, a series of redirects occurs through affiliate programs, leading to games hosted on Apple’s iOS app store or the Google Play store. We have found that reviews of one of the applications mention the spam from Snapchat.
 
figure4_0.png
Figure 4. App store review highlighting Snapchat spam
 
The way these spammers make money is through affiliate programs that pay for each successful installation. This is why porn bots ask for proof of installation in the chat script. From our research, there were at least 30,000 clicks through multiple short URLs, though this number may be higher when considering that there could be multiple campaigns with different short URLs in operation.
 
As we’ve highlighted in previous examples, once a service becomes popular, the spammers are never far behind. With 350 million messages sent on Snapchat on a daily basis, it is no surprise that spammers have honed in on the service.
 
Other than porn spam, Snapchat users are also being targeted by a new campaign that uses a “secret admirer” lure in order to direct them to a website called SnapCrush. This website harvests usernames and directs users through a similar chain of affiliate programs with the same intention: to convince users to install a mobile application.
 
figure5.png
Figure 5. A new spam campaign on Snapchat
 
Currently, there is no way for Snapchat users to report these accounts as spam within the application itself. For now, users can report spam accounts to the service through the Report Spam section of the Snapchat support site.

SnapChat-Like Apps Hide Content on Twitter, Facebook

Just when parents figured out SnapChat, an app that makes photo texts disappear, two new apps hit the social scene that achieve the same objective on both Twitter and Facebook. Twitterspirit allows a Twitter user to set a time limit for a tweet before it “self-destructs” in their feed. By using a hashtag (#) denoting any Read more…