ユーザー名とパスワードを入力すると、無料のフォロワーと「いいね!」を獲得できます。これは、何万人もの Instagram ユーザーが起こっていると考えていたことです。
100,000以上インスタグラムユーザーは、写真共有プラットフォームで無料の「いいね!」とフォロワーを約束するアプリ「InstLike」と呼ばれる、大胆かつ効果的な詐欺に騙されました。このアプリは、ダウンロード後にユーザーにユーザー名とパスワードを共有するよう求め、ユーザーを巨大なソーシャル ボットネットの自発的な参加者に変えました。
ユーザーが無料アプリにサインアップすると、InstLike はランダムな写真にいいねをし、ランダムなユーザーをフォローし始めます。セキュリティ会社による新しい調査によると、ユーザーには「いいね!」やフォロワーを増やすために仮想コインを購入するよう求められているシマンテック、Mashableと独占的に共有されます。
「私たちはあなたのアカウントを盗みません」とアプリ開発者はログイン画面で約束しました。しかし、InstLike はまさにそれを実現しました。
シマンテックは数千のユーザーのアカウントを収集し、少なくとも 100,000 人のユーザーがこの詐欺に引っかかったと推定しています。アプリは、これらの実際のアカウントを使用して「いいね!」やフォロワーを追加し、詐欺エコシステムにフィードを提供することができました。より多くの人が餌に乗るほど、より多くのフォロワーと「いいね!」が配信されました。
Instagram API を使用する代わりにログイン認証情報を直接要求するという大きな危険信号を立てたにもかかわらず、アプリは非常に成功し、厳しい監視を生き延びました。りんごそしてグーグルシマンテックによると、10月下旬に詐欺を発見したという。
のアンドロイドアプリは 6 月 9 日に作成されましたが、それに対応するiOSアプリストア分析ウェブサイト App Annie によると、このアプリは 9 月 19 日にリリースされました。
クレジット:
シマンテックが Apple と Google に警告した後、このアプリは Google から削除されましたGoogleプレイそしてアプリストアそれぞれ10月25日と11月7日に。
しかし、シマンテックによれば、それ以前にこのファイルは数万人が集合的にダウンロードして使用し、宝の山のアカウントがボットネットに収集されたという。
10 月 5 日、InstLike は App Store でピークに達し、最もダウンロードされた「ユーティリティ」アプリの中で 22 位、全体では 571 位になりました。App Annieによると。
シマンテック社によると、Google Play ストアでは、InstLike は削除されるまでに 100,000 から 500,000 件のダウンロードがあり、アプリストア全体で 100,000 件以上の評価を受けていました。これらの数字から同社は、少なくとも 100,000 人のユーザーが InstLike にパスワードを提供していると推定しましたが、この数字はシマンテックが「保守的」であると考えています。
InstLike の存在を知ったシマンテックのセキュリティ研究者サトナム・ナラン氏は、「人々は騙されてこのアプリにログイン資格情報を与えていたことに気づいていなかった」と Mashable のインタビューで語った。
また、追加の「いいね!」やフォロワーに対して料金を支払うよう人々を説得しました。
App Storeから削除された10月8日から11月7日までのほぼ一か月間、InstLikeはユーティリティアプリケーションの中で2位か1位の収益を上げ、全体ではトップ200に入っていた。 。
Apple はアプリからの正確なダウンロード数や収益を公表していませんが、比較のためにそれらの総売上高の数字を似ていますTemple Run 2 などの人気ゲームまで。
「いいね!」やフォロワーを約束することでソーシャルメディアユーザーを騙そうとしたアプリはこれが初めてではないが、その戦術はかなり革新的だったとナラン氏は説明した。通常、この種の詐欺アプリは前払いでお金を要求しますが、このアプリは無料で、偽のアカウントではなく本物のアカウントを使用していました。
「人々が自分の写真に「いいね!」を獲得するためにどれだけの努力をするかを見るのは非常に興味深いです」とナラン氏は付け加えた。
おそらくユーザーはパスワードを放棄することに世間知らずだったのでしょうが、アプリは洗練されていました。さまざまな方法を使って人々に仮想コインの支払いを説得し、アプリを広めました。
アプリはユーザーに 1 日あたり 20 の無料コインを割り当てました。 「いいね!」は 1 つにつき 1 コイン、フォロワーは 1 つにつき 10 コインかかります。毎日 20 コインを獲得した後は、ユーザーはリアルマネーでさらにコインを購入する必要がありました。最低 100 コインの購入ではわずか 1 ドルで、他のユーザーを InstLike に紹介すると、50 コインが無料で受け取れるため、ユーザーは新しいプレイヤーを募集することができます。
このアプリには、共通のハッシュタグが付いた写真に 500 件の「いいね!」を送信する自動いいね機能が含まれており、いいねのお返しやフォローバックを期待していました。ユーザーは 20 コインで、最大 1,500 件の「いいね!」を送信し、対象のハッシュタグをカスタマイズできる 1 日限りのプレミアム サービスを購入できます。
さらに、ユーザーが自分の写真のキャプションにハッシュタグ #instlike_com を使用すると、無料で 20 件の「いいね!」を獲得できます。 Instagram で検索すると、すでに 500,000 枚以上の写真にそのハッシュタグが含まれていることがわかります。
これらすべての機能により、InstLike は何千もの自発的な「ゾンビ」アカウントを採用する洗練されたエコシステムになりましたが、それは彼らの純朴さとパスワードを放棄する意欲にかかっています。ソーシャルメディアベースの詐欺の分野で経験豊富なナラン氏にとって、関与する人々の多さは恐ろしいものです。
「これは未来の世代です」とナラン氏は語った。 「ソーシャル メディア アカウントのログイン認証情報を喜んで提供するのであれば、それはセキュリティ ポリシーに違反します。」
アプリがどのようにしてこれほど長い間監視を生き延びたのかは不明だ。 Appleの広報担当者はMashableへのコメントを拒否し、Googleは複数のコメント要請に応じなかった。
InstagramはMashableに次の声明を送った:「自動化されたコンテンツをInstagramに投稿することは、明らかに当社の利用規約に違反しています。当社には、サービス上での不正行為を阻止し、当社の規約に違反するコンテンツの削除を含む当社のポリシーを施行することに専念するチームがいます。」
その後、アプリは Google Play とアプリのサイトである App Store から削除されましたが、InstLike.com、まだ稼働中です。アプリをダウンロードして資格情報を提供した場合、シマンテックはパスワードを直ちに変更し、携帯電話からアプリを削除することを推奨しています。そうしないと、InstLike はアカウントから投稿を続けます。
[wp_scm_comment]