駭侵者透過約會軟體 Tinder 用戶個人照片,以手寫網址相片散布惡意網址

資安專家發現,近來在 Tinder 這類的社群約會軟體上,有駭侵者利用在個人檔案的照片放上手寫網址相片的方式,一方面避免系統阻擋,一方面誘騙受害者上當。

據資安媒體 Bleeping Computer 的調查報導,在 Tinder 上發現多個類似案例;駭侵者在 Tinder 上註冊假帳號,在其個人檔案中先放置來路不明的俊男美女等具吸引力的個人照片,然後再放上一張内有手寫網址的照片。

根據分析,這些手寫的網址,多半都是一些第三方約會網站,或是一些内容不堪入目的色情網站。

此外,這些假帳號也會在自我介紹的文字欄位中,寫上一些鼓勵造訪者在瀏覽器中輸入手寫網址的文句,以便提高受害者上當受騙的機會。

由於多數社群媒體的内容過濾機制,多半僅檢查文字格式的輸入資料,例如用戶以鍵盤輸入的内容、自我介紹文字、即時文字通訊等等,無法檢查照片當中的手寫文字,因此這類釣魚攻擊方式往往可以有效避免各社群平台的自動檢查機制,只能靠人工巡查來進行審核。

另外,也有駭侵者利用發送私訊的方式,在另一個約會社群平台 Grindr 上大量傳送詐騙訊息給受害者;這些受害訊息多半由個人檔案一片空白的假帳號發送,内含惡意網站或詐騙連結。

雖然這類以文字訊息傳送的垃圾與詐騙内容,比手寫照片中的網址容易偵測,但如果社群平台在假帳號註冊的防制上不夠嚴格,駭侵者可以很容易大量註冊各種假帳號的話,用戶就還是有收到各種詐騙訊息或垃圾内容的風險。

相關連結

  1. TWCERT/CC
  2. Spam, Bans…and Our Plans
  3. Tinder spam campaign hides “handwritten” links in profile images
Scroll to Top