Compromised Snapchat accounts have sent out photo messages of a box of Garcinia Cambogia, followed by a chat message with a suspicious link containing ‘groupon.com’ in the URL.
Compromised Snapchat accounts have sent out photo messages of a box of Garcinia Cambogia, followed by a chat message with a suspicious link containing ‘groupon.com’ in the URL.
Earlier today, photo-messaging application Snapchat unveiled new features that enable users to chat directly within the application, a frequently requested feature. The addition of this feature, while an improvement, provides the individuals responsible for Snapchat spam a new feature to play with in their efforts to target users of the service.
History of Snapchat Spam
Figure 1. Previous iterations of porn and dating spam on Snapchat
We have written numerous blogs about the rise of Snapchat spam over the last six months. The common thread in each of these spam campaigns was that they were all hindered by the lack of chat functionality. This roadblock presented a challenge to spammers, which led to a common workaround. Each of the spam “snap” messages sent to users featured a caption that asked them to manually perform one of the following actions:
Figure 2. Previous iterations of diet spam on Snapchat
The Future of Snapchat Spam
Now that the chat functionality is native to Snapchat, spammers can remain within the application itself and tailor their spam to work with this new functionality in mind. They can start building chat bots that communicate directly with Snapchat users or find new ways to trick users into clicking on links.
Restrictions on Sharing Links
Figure 3. Comparison of sharing links through Snapchat’s “Chat” feature
While spammers can send links within chat messages, the way they appear to the recipient can vary. For messages from non-friends, the links cannot be clicked on. For messages from friends, the links are active and clickable.
Understand that spammers are determined and will find ways to adapt. For instance, a spam campaign could begin with an initial photo message of a scantily clad woman that offers “sexier pictures” if a user adds them as friends to ensure that their links would be clickable as the campaign continues.
Review your privacy settings
Now would be a good time to review your Snapchat privacy settings and make sure that only your friends can send you snaps. Please note that even if you restrict who is allowed to send you snaps, you can still receive friend requests from spammers.
We’re keeping an eye out for new spam campaigns using this new feature and we think you should too. Tweet us @threatintel if you come across new Snapchat spam.
写真共有アプリ Snapchat を利用したスパムの最近の傾向として、フルーツやフルーツ系ドリンクのスパム写真がユーザーの連絡先に送信されるケースが増えています。写真のリンク先は、「Frootsnap」や「Snapfroot」という Web サイトです。
図 1. Snapchat 上のフルーツスパム
シマンテックは数カ前から Snapchat スパムを追跡していますが、偽アカウントからではなく実在するユーザーのアカウントからスパムが送信されたのは、今回が初めてです。アカウントが危殆化してダイエットスパムを送信させられているのです。
Instagram をお使いであれば、昨年の夏に同様の攻撃活動があったことを思い出されるかもしれません。大量のアカウントが危殆化し、奇跡のダイエットフルーツという謳い文句で今回と同じような画像やメッセージが投稿されたことがありました。
frootsnap.com または snapfroot.com という Web サイトにアクセスさせられた Snapchat ユーザーは、偽のページにリダイレクトされます。これは Groupon の商品案内サイトに似たテンプレートをコピーしたページで、30 日分の減量サプリメントを無料進呈するとも書かれています。典型的なダイエット薬品スパムです。
図 2. 減量サプリメントを進呈すると謳う Web サイト
このサイトは Groupon とアフィリエイト関係があるわけではなく、信憑性を持たせるために「いいね」ボタンが設置されています。無料のサプリメントをもらおうとすると、securehlthbuyer.com という 2 番目のサイトにリダイレクトされます。このサイトは securebuyerpath2.com という、過剰な請求をめぐって苦情が寄せられているサイトと関連しています。
現時点で、シマンテックは正規のアカウントが危殆化した経緯を確認していません。シマンテックは、このブログを公開する前に Snapchat 社に連絡して調査に協力しています。調査は今も継続中ですが、Snapchat 社からは以下の声明が届いています。
「Snapchat において昨日、ユーザー数は少ないながらも、そのアカウントから不審な写真が送信されるというスパム事案が発生しました。弊社セキュリティチームはアカウントを保護するための措置を追加しました。悪用を避けるために、強力かつ固有のパスワードをお使いください」
また、スパムメッセージを止めようとして Snapchat アプリを端末から削除したが、スパムは止まらなかったというユーザーの報告も受けています。自分のアカウントからこのようなスパムメッセージが送信されていることを確認した場合は、ただちにパスワードを変更するのが最善の対策です。
図 3. Snapchat のパスワードの変更方法
Snapchat のパスワードを変更するには、Snapchat の Web フォームまたはアプリ内で、[Settings]の[Support]セクションに進んでください(図 3)。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In the latest Snapchat spam developments, an increasing number of the photo-sharing app’s users have been sending out spam pictures of fruits or fruit-based drinks to their contacts, which directs them to websites called “Frootsnap” and “Snapfroot”.
Figure 1. Fruit spam on Snapchat
While Symantec has been tracking Snapchat spam for months, this is the first case in which the spam does not originate from fake accounts, but those belonging to real users. These accounts have been compromised to push diet spam.
Instagram users might recall similar campaign last summer, where a number of accounts were compromised to post similar images and messages, extolling the virtues of a miracle diet fruit.
Snapchat users visiting the websites frootsnap.com or snapfroot.com will be redirected to a fake page which has copied the template similar to a Groupon deal website. The page also claims to offer a free 30-day supply of a weight-loss supplement, commonly referred to as diet pill spam.
Figure 2. Website claims to offer weight-loss supplements
The site has no affiliation with Groupon, but uses its likeness to make the offer seem legitimate. If users try to redeem these free pills, they are redirected to a secondary site called securehlthbuyer.com. This site has been associated with securebuyerpath2.com, which has received complaints about excessive charges.
As of now, Symantec does not know how the legitimate accounts were compromised. We reached out to Snapchat before this blog was published to assist them in their investigation, and while we continue to work with them, they provided us with the following statement:
“Yesterday a small number of our users experienced a spam incident where unwanted photos were sent from their accounts. Our security team deployed additional measures to secure accounts. We recommend using unique and strong passwords to prevent abuse.”
We also came across reports of Snapchat users deleting the app from their phone hoping the spam messages would cease. However, this will not stop the spam. If your account has been caught sending out these spam messages, the best thing to do is to change your password immediately.
Figure 3. How to change your Snapchat password
You can change your Snapchat password through the Snapchat web form or through the application itself, by navigating to the Support section under Settings, as shown in Figure 3.
このブログで、Snapchat ユーザーを狙うポルノスパムと「隠れファン」スパムを取り上げてから数週間が経過しましたが、今度は性的に思わせぶりな写真に加えて、危殆化したカスタム URL を使う新しいスパム攻撃が Snapchat 上で出回っています。
図 1. Snapchat スパム
スパムメッセージにはそれぞれ、モバイルデバイス用 Kik インスタントメッセージアプリ上の特別に細工されたユーザー名と、「Add my kik(Kik を追加)」というリンクが含まれています。
図 2. デジタルカメラを構えた Snapchat は罠
Kik Messenger でこのようなスパムボットに応答すると、このスパム攻撃では昨年の夏頃にシマンテックが Tinder で発見したのと同じようなスパムチャットボットのセリフが使われます。
図 3. Kik と同様のチャットのセリフを使うスパムボット
この攻撃で確認された興味深い特徴として、小規模な Web サイトや人気ブランドが所有しているカスタム URL が危殆化して利用されているという点が挙げられます。スパマーは、ユーザーに偽の安心感を植え付けるために、ブランド名の入った短縮ドメインを使って独自のリンクを作成するという方法を使用しているのです。
図 4. 有名ブランド名の入った短縮ドメインがユーザーをスパムに誘導
危殆化したブランド名入りの短縮ドメインとして、これまでに特定されている例を以下に示します。
図 5. 危殆化した短縮 URL の統計ページ
ブランド名の入ったカスタム URL にはアフィリエイトマーケティング用のリンクが設定されており、ユーザーはアダルト向け Web カメラサイトの登録ページに誘導されます。
シマンテックは Bitly 社と緊密に連携して、ブランド名の入った短縮 URL のスパム利用を調査し、見つかりしだい停止しています。Bitly 社によると、さまざまなブランドに帰属する Bitly API キーを入手したスパマーが存在するのは間違いないということです。影響を受けているブランドの一部は、AddThis というソーシャルブックマークサービスを利用していました。AddThis は、最近になって AddThis Web サイト埋め込みコードの一部として API キーを平文で公開するようユーザーに求めることを中止しています。
図 6. API キーの安全性に関する AddThis サポートページの注意書き
API キーを一般に公開すると、誰でもアカウントを危殆化できるようになり、この場合には他者のドメインを使って短縮 URL を作成できることになります。
AddThis サービスをお使いの場合は、こちらのサポート記事で API キーの保護方法を参照してください。Bitly をお使いの場合は、Bitly API のベストプラクティスに従って、API キーのセキュリティを保証する必要があります。
Snapchat ユーザーを標的とする最近のスパム活動は、特に驚くことでもありません。詐欺師やスパマーは、人気のある新しいアプリをいつでも狙っています。Snapchat も同様で、ユーザー規模が十分に大きくなれば、たちまち標的になります。Snapchat のフィードにスパムスナップが表示されないようにするには、Snapchat のプライバシー設定を変更してスナップを「My Friends(友人)」からのみ受け取るようにすることをお勧めします。もちろん、迷惑メッセージや友人申請を受け取ったときには十分に注意してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
A few weeks after our blog post about porn and secret admirer spam targeting Snapchat users, a new spam campaign using sexually suggestive photos and compromised custom URLs is circulating on the photo messaging app.
Figure 1. Snapchat spam
Each of these spam messages includes a request to “Add my kik”, along with a specially crafted user name on the Kik instant messaging application for mobile devices.
Figure 2. Snapchat with a digital camera? It’s a trap!
After engaging these spam bots on Kik Messenger, this spam campaign is using a type of spam chat bot-script we discovered on Tinder last summer.
Figure 3. Spam bot using a familiar chat script on Kik
An interesting discovery from this campaign is the use of compromised custom URLs belonging to small websites and popular brands. Spammers have found a way to create their own links using branded short domains in order to entice users into a false sense of security.
Figure 4. Well-known branded short domain directs users to spam
The following are some of the compromised branded short domains we identified:
Figure 5. Stats page for compromised short URL
Hidden behind the branded customized URLs are affiliate marketing links directing users to sign-up for adult webcam sites.
Symantec has been working closely with Bitly to investigate and shut down any spammer use of branded short URLs. Bitly has confirmed that some spammers obtained Bitly API keys belonging to various brands. Some of the brands affected used the AddThis social bookmarking service who recently stopped requiring users to reveal their API key in plain text as part of the AddThis website embed code.
Figure 6. Note from AddThis support page regarding API key safety
Public exposure of API keys gives anybody the ability to compromise accounts and, in this case, create short URLs using other people’s domains.
Users of the AddThis service should refer to this support article on how to secure API keys. Bitly javascript:void(0);users should follow Bitly API best practices to ensure the security of API keys.
The recent spam campaign targeting Snapchat users should not be surprising. Scammers and spammers will always target new and popular apps—like Snapchat—as soon as they gain a large enough user base. To prevent spam snaps from appearing in your Snapchat feed, Symantec recommends users change their Snapchat privacy settings to receive snaps from “My Friends” only and use caution when receiving unsolicited messages or friend requests.
Just when parents figured out SnapChat, an app that makes photo texts disappear, two new apps hit the social scene that achieve the same objective on both Twitter and Facebook. Twitterspirit allows a Twitter user to set a time limit for a tweet before it “self-destructs” in their feed. By using a hashtag (#) denoting any Read more…