גולשים רבים מתלוננים על אפליקציית אפליקציית Followers & Unfollowers, המתיימרת להיות אלטרנטיבה ל-InstaFollow ומאפשרת למשתמשים לקבל רשימה מקיפה של מי עוקב אחריהם ומי לא באינסטגרם ובכך לנהל את רשימת החברים. האפליקציה עדיין זמינה להורדה בגוגל פליי, עם לא פחות ממיליון הורדות ברחבי העולם, כולל בישראל. שי ממן, חוקר מודיעין בחברת Inteleye, מזהיר כי מדובר באפליקציה שכל מטרתה הוא לפרוץ לכם לחשבון האינסטגרם - ואז למכור את הפרטים שלכם או להחליף לכם אותם ולנעול אתכם מחוץ לחשבון.
על פניו, האפליקציה נראית לגיטימית, למרות שהשירות עצמו הנו צד ג' ולא משווק ע''י אינסטגרם הרשמית. כאשר מורידים את האפליקציה, יש דף התחברות מזויף שבו מבקשים את שם המשתמש + סיסמה של חשבון האינסטגרם.
האפליקציה נבנתה בצורה מהימנה ודומה למקור, כאשר אלמנטים ל"הגברת הרגשת הביטחון" על ידי המשתמש מופיעים גם פה. למשל, הפיצ'ר של שכחתי סיסמה על מנת לשחזר פרטי חשבון, אפשרות התחברות עם חשבון פייסבוק (חברת האם של אינסטגרם), הרשמה לשירות, הלוגו של חברת מטא ואפילו משפט שנראה רשמי לכל דבר, שבו נטען "אנחנו לעולם לא שומרים את פרטי ההתחברות שלכם".
לאחר שהמשתמש מתחבר לאפליקציה עם פרטי החשבון שלו, נשלח אליו קוד אימות לחשבון הוואטסאפ או כהודעת SMS רגילה, לפי בחירתו. גם פה, הכל נעשה על מנת לתת תחושת ביטחון ואמינות. ניתן להנפיק קוד חדש לאחר 30 שניות, בדיוק בדרך הרגילה והמוכרת למשתמש, וניתן אפילו להגדיר את המכשיר הראשי שממנו התחברנו כמהימן וללא צורך להתחבר בכל פעם מחדש.
קוד האימות שנשלח מופיע כאילו הגיע מאינסטגרם עצמה, כולל V כחול לאימות וחשבון עסקי, כאשר בהודעה שתקבלו הם אפילו הגדילו לעשות וכתוב בה שאינסטגרם לעולם לא תבקש את הקוד הזה דרך הודעה או מייל. נבהיר, מדובר בקוד ששולח לכם העוקץ ולא אינסטגרם.
כאשר נכנסים לפרטי החשבון של אינסטגרם, ניתן לראות את הבעיה המרכזית. ישנו מספר טלפון מוצג, משהו שלא יקרה בחשבון הרשמי של ענקית הטכנולוגיה. המספר עצמו נרשם תחת השמות "Instagram" ו-"Instagram Business".
בחיפוש המספר ברשת, הופיעו ביקורות על ניסיונות הונאה מהמספר הזה. מקור מספר הטלפון הוא מבריטניה, אך על פי ממן, זיהוי נוסף ומעמיק יותר הוביל ל-ID של חשבון פייסבוק המשויך ישירות לבחור שמקורו מבנגלדש, מקום ידוע של הרצת הונאות רשת וגניבת פרטי התחברות בקמפיינים רחבי היקף.
לצד ביקורות חיוביות (שאמינותן אינה ידועה), היו גם גולשים שהזהירו מפני האפליקציה בתגובות בגוגל פליי: "פרצו לי לחשבון ושינו את הסיסמה! לא להוריד!", כתב גולש בשם אביב. "נכנסתי ואחרי איזה שבועיים בערך מישהו ניסה להיכנס לי לעמוד באינסטגרם ואז שיניתי סיסמה. לא מזמן התחברתי שוב עם הסיסמה החדשה וכמה ימים אחרי שוב ניסו להיכנס לי לעמוד", הוסיפה משתמשת בשם מעיין, "פרצו לי לאינסטגרם אל תורידו את האפליקציה הנוראית הזאת", ציין גולש בשם זוהר.
"מדובר בשירות מועד לפורענות. נתת קוד שקיבלת מהעוקצים, הם מצליחים לקבל אותו כי סיפקת שם משתמש וסיסמה לפני, ואז הם מתחברים לחשבון שלך ונגמר הסיפור. בפועל, האפליקציה גונבת לך את פרטי ההתחברות ויכולה למכור אותם לצד שלישי או שמשתמשים בזה וגונבים לך את החשבון", מזהיר ממן.
אז מה כדאי לעשות כדי לא ליפול במלכודת כזו?
ממן: "תמיד להסתכל על ביקורות - לא רק בחנות אלא גם ברשת. גם עצם העובדה שפה היה מספר טלפון חשוף, כבר מעידה על בעייתיות. באופן כללי, צריך להיות חשדניים לגבי אפליקציות לא מהימנות, כי זה לא שירות לגיטימי מתוך החברה האם. חוץ מזה, חובה להגדיר אימות דו שלבי לאינסטגרם, כמו גם לכל הרשתות החברתיות שלכם, שברגע שמישהו התחבר עם הפרטים שלכם, אתם תקבלו הודעה לטלפון ותצטרכו לאשר או לא שזה אתם".
מה צריך לעשות אם פרצו לי?
"לא בהכרח תדע שפרצו לך. אם אתה יודע שפרצו והתוקף לא שינה פרטים כמו מייל וטלפון, אתה יכול להתחבר ולהתנתק אוטומטית מכל המכשירים שבהם אינסטגרם מחוברת, ואז להחליף סיסמה ישר".