Twitter, con más de 44 millones de usuarios únicos es un jugoso canal donde convive todo un ecosistema de individuos y organizaciones dedicadas al fraude online.
Creemos que es de interés resaltar algunos de los usos fraudulentos de twitter:
1) Phishing en Twitter: El phishing no solo tiene como objetivo a los servicios de banca y de pago como paypal. Cualquier servicio popular es objeto de esta amenaza, no tanto por el objetivo mismo de la cuenta twitter, sino por la probabilidad de acceso a otros servicios accesibles desde el pérfil público. Consejo: Dar la misma importancia tanto a las credenciales de banca online como de cualquier otro servicio,
no reutilizar contraseñas, y observar la URL de login.
URLs usadas como phishing en twitter (ya deshabilitadas):
hxxp://secure-login.twitter.verifiylogin.com/twitter/
hxxp://videos.twitter.secure-logins01.com/
3) SPAM: Las cuentas creadas con este fin se caracterizan por la gran diferencia entre el número de seguidores y seguidos, siendo este último extremadamente superior.
Este mensaje es de la semana pasada:
Un rápido vistazo al perfil mencionado muestra la diferencia en el número de seguidores y una continua ola de mensajes similares:
El usuario que preguntaba sobre este pérfil era seguidor del spammer, no sabemos si por desconocimiento, o por víctima de algo similar al punto 5.
Consejo: Sigue a
@spam y reporta cualquier actividad sospechosa como esta. De vez en cuando, revisa a quien sigues, y asegurate de que te suscribiste manualmente a ellos.
4) Uso indebido de Apps en twitter: Las
aplicaciones en twitter (APPS) son casi como la gasolina al coche, sin ellas no tendría mucho sentido. Pero hay que tener cuidado, sólo deberíamos confiar en aquellas que hacen uso del protocolo
Oauth. Twitter lo hizo público
en marzo del 2009, para que los desarrolladores de apps puedieran hacer uso de él haciendo la vida más fácil a los usuarios. De esta manera,
no es necesario que algún servicio que use twitter nos solicite usuario y contraseña, automáticante lo debería tomar si previamente confiamos en la aplicación.
5) Consigue más followers: Este tipo de servicios abundan, y sus metodos oscuros. no los cuentan, únicamente muestran resultados. Nos picó la curiosidad y decidimos hacer uso de uno de ellos con un usuario creado a tal efecto. El resultado fue:
- 2 semanas
- 138 seguidores
- 491 seguidos
- 5 tweets
Destacar que únicamente creamos la cuenta, la dimos de alta en un servicio del tipo «Consigue más followers» que solicitaba usuario y contraseña de twitter (ver punto anterior), muy amablemente se lo ofrecimos. Lo siguiente que ocurrió fue un continuo flujo de DMs (mensajes directos), con cientos de URLs. Estos mensajes provienen de usuarios que han sido víctimas ,o no, de este engaño, y su único objetivo es la autopromoción de dudosos servicios. También nos ofrecieron un exclusivo servicio de pago que lamentablemente no llegamos a usar.
Adicionalmente, analizamos las URLs enviadas a través de DMs así como las 500 primeras del resultado de realizar una búsqueda del tipo «Consigue más followers». Nuestro objetivo era buscar ataques tipo
drive-by download, en los cuales el usuario, si navega con un software no actualizado puede ser víctima de múltiples ataques por el simple hecho de visitar una página web.
Tan solo encontramos 3 urls que dieron positivo a este análisis, pero que descartamos posteriormente al comprobar que se trataba de falsos positivos. (ver también el punto 1.)
6) Nuevo canal para las botnets: Aunque esta técnica no afecta directamente a los usuarios de twitter. Sí es de interés resaltar el uso de twitter como
nuevo canal para las botnets.
7) Nueva fuente para el malware: Al igual que el anterior, esta técnica no afecta directamente al usuario, pero sí pone de manifiesto la importante característica de viralidad que ofrece, con jugosos datos para su uso en ataques de Ingeniería social; como la creación de un dominio iframe con twitter trends para el
troyano sinowal.
8 ) Robo de marcas / suplantación de identidad: Sin exponer datos concretos, se tiene constancia de robo de marcas en twitter así como violación de uso de logos. Una guerra similar que existe con los dominios de nombres pero trasladada aquí. Para evitar el robo de identidad twitter lanzó a mediados de 2009 la característica cuentas verificadas.
9) Gusanos en Twitter: XSS ha sido muy
popular estos días, aunque sólo de
forma anecdótica. En twitter se uso
esta técnica para que cualquier usuario qué en ese momento estuviera logueado, escribiera mensajes elegidos por un atacante, con tan solo pinchar en un enlace. Aunque más que XSS, esa acción se corresponde más con un ataque CSRF, menos conocido pero igual o más peligroso. (ver también punto 2.)
Mikel Gastesi (@mgastesi) y Emilio Casbas (@ecasbas)
Fuente: S21sec e-crime