Российские пользователи Instagram стали жаловаться на появление в их лентах спам-аккаунтов, на которые они не подписывались. По мнению наблюдателей, это связано с тем, что злоумышленники используют недобросовестные методы продвижения продуктов, в частности кликджекинг.
Механизм кликджекинга предусматривает возможность для злоумышленника получить доступ к конфиденциальной информации пользователя, заманив его на внешне безобидную страницу или внедрив вредоносный код на безопасный веб-сайт. Принцип основан на том, что поверх видимой страницы располагается невидимый слой, в который и загружается нужная злоумышленнику страница, при этом кнопки совмещаются с видимой ссылкой или кнопкой, нажатие на которую ожидается от пользователя.
На эту проблему обратил внимание ресурс . Один из пользователей сообщил, что оказался без ведома подписанным на ряд спам-аккаунтов — например, Amagi Love и Zveri_lydi. По словам Гиндина, он не подписывался на эти аккаунты и не знает, откуда они взялись в его ленте. Комментарии под фотографиями аккаунтов подтверждают, что и другие люди также оказались подписанными на них не по своей воле.
С похожей проблемой столкнулся бывший генеральный продюсер игровой компании Game Insight Леонид Сиротин. Он рассказал, что был авторизован в Instagram через веб-версию — подписчики Сиротина в Facebook выдвинули версию, что спам-аккаунты используют методы кликджекинга.
Похожий способ мог использоваться для привлечения подписчиков на Facebook-страницу водки Absolut. Эксперты по информационной безопасности считают, что злоумышленники также могут перехватывать сессию пользователя, если Instagram не использует защищённое соединение.