100 000 użytkowników Instagram ofiarami socjotechniki

Aplikacja mająca przysporzyć użytkownikom Instagram obserwujących i polubień – InstaLike – okazała się narzędziem do wykradania haseł użytkowników. “Zaloguj się za pomocą loginu i hasła z Instagram, nie wykradamy danych – Instagram nie pozwala tego robić w inny sposób” – tak mniej więcej aplikacja zapraszała swoje ofiary.

W ten sposób stworzony botnet wymieniał kliknięcia pomiędzy zainfekowanymi kontami. Nie robił tego za darmo: użytkownicy codziennie dostawali 20 monet – środka płatniczego wewnątrz aplikacji, które mogli wydać na własną promocję. Like kosztował jedną monetę, a jeden nowy śledzący 10. Po wykorzystaniu limitu dziennego można było dokupić 100 monet za $1, lub zdobyć 50 poprzez zaproszenie nowego użytkownika. Te zabiegi pozwoliły na zdobycie takiej popularności i ilości dostępnych kont, że autorzy świetnie wywiązywali się z zadań, wykorzystując konta użytkowników. Naiwność użytkowników znów pokonała wszelkie zabezpieczenia.

Co zaskakujące, aplikacja była dostępna przez oficjalne kanały dystrybucji dla iOS oraz Androida. W chwili obecnej już niedostępne, wersje aplikacji widniały w sklepach:

  • Google Play – od 9 czerwca do 25 października z ilością pobrań na poziomie 100 000 – 500 000
  • AppStore – od 19 września do 7 listopada z ilością pobrań na poziomie hitu Temple Run 2.


Jeśli korzystaliście z aplikacji gdy była jeszcze dostępna, zalecam zmianę hasła. Autorom skończył się dochód ze sprytnego procederu, więc mogą spróbować wykorzystać zdobyte dane w jakiś gorszy sposób np. sprzedać bazę kont.

Opisany incydent nie jest może przykładem wielkiego zagrożenia bezpieczeństwa, ale za jego sukcesem (obejściem zabezpieczeń sklepów) mogą pójść naśladowcy, którym będzie zależało na czymś więcej niż biznesie z likeów.

Źródło: [1]