Twitter, con más de 44 millones de usuarios únicos es un jugoso canal donde convive todo un ecosistema de individuos y organizaciones dedicadas al fraude online.

Creemos que es de interés resaltar algunos de los usos fraudulentos de twitter:

1) Phishing en Twitter: El phishing no solo tiene como objetivo a los servicios de banca y de pago como paypal. Cualquier servicio popular es objeto de esta amenaza, no tanto por el objetivo mismo de la cuenta twitter, sino por la probabilidad de acceso a otros servicios accesibles desde el pérfil público. Consejo: Dar la misma importancia tanto a las credenciales de banca online como de cualquier otro servicio, no reutilizar contraseñas, y observar la URL de login.
URLs usadas como phishing en twitter (ya deshabilitadas):

hxxp://secure-login.twitter.verifiylogin.com/twitter/
hxxp://videos.twitter.secure-logins01.com/

2) Ingeniería social: Una de las mayores armas de los cibercriminales y de las que mejor resultado ofrecen. Koobface dió el salto a twitter en Julio de 2009. Aparecían tweets con cadenas aleatorias como: «WOW», «LOL», «:)» con enlaces para descargar una actualización del reproductor de flash para ver un vídeo. Por supuesto, esta actualización contendrá el malware que nos infectará. Esto se agrava con el acortamiento de URLs, que también sirve para enmascararlas. La vulnerabilidad clickjacking tambien hizo uso de este arma.


3) SPAM: Las cuentas creadas con este fin se caracterizan por la gran diferencia entre el número de seguidores y seguidos, siendo este último extremadamente superior.

Este mensaje es de la semana pasada:

Un rápido vistazo al perfil mencionado muestra la diferencia en el número de seguidores y una continua ola de mensajes similares:

El usuario que preguntaba sobre este pérfil era seguidor del spammer, no sabemos si por desconocimiento, o por víctima de algo similar al punto 5.
Consejo: Sigue a @spam y reporta cualquier actividad sospechosa como esta. De vez en cuando, revisa a quien sigues, y asegurate de que te suscribiste manualmente a ellos.
4) Uso indebido de Apps en twitter: Las aplicaciones en twitter (APPS) son casi como la gasolina al coche, sin ellas no tendría mucho sentido. Pero hay que tener cuidado, sólo deberíamos confiar en aquellas que hacen uso del protocolo Oauth. Twitter lo hizo público en marzo del 2009, para que los desarrolladores de apps puedieran hacer uso de él haciendo la vida más fácil a los usuarios. De esta manera, no es necesario que algún servicio que use twitter nos solicite usuario y contraseña, automáticante lo debería tomar si previamente confiamos en la aplicación.
5) Consigue más followers: Este tipo de servicios abundan, y sus metodos oscuros. no los cuentan, únicamente muestran resultados. Nos picó la curiosidad y decidimos hacer uso de uno de ellos con un usuario creado a tal efecto. El resultado fue:
  • 2 semanas
  • 138 seguidores
  • 491 seguidos
  • 5 tweets
Destacar que únicamente creamos la cuenta, la dimos de alta en un servicio del tipo «Consigue más followers» que solicitaba usuario y contraseña de twitter (ver punto anterior), muy amablemente se lo ofrecimos. Lo siguiente que ocurrió fue un continuo flujo de DMs (mensajes directos), con cientos de URLs. Estos mensajes provienen de usuarios que han sido víctimas ,o no, de este engaño, y su único objetivo es la autopromoción de dudosos servicios. También nos ofrecieron un exclusivo servicio de pago que lamentablemente no llegamos a usar.

Adicionalmente, analizamos las URLs enviadas a través de DMs así como las 500 primeras del resultado de realizar una búsqueda del tipo «Consigue más followers». Nuestro objetivo era buscar ataques tipo drive-by download, en los cuales el usuario, si navega con un software no actualizado puede ser víctima de múltiples ataques por el simple hecho de visitar una página web.

Tan solo encontramos 3 urls que dieron positivo a este análisis, pero que descartamos posteriormente al comprobar que se trataba de falsos positivos. (ver también el punto 1.)

6) Nuevo canal para las botnets: Aunque esta técnica no afecta directamente a los usuarios de twitter. Sí es de interés resaltar el uso de twitter como nuevo canal para las botnets.
7) Nueva fuente para el malware: Al igual que el anterior, esta técnica no afecta directamente al usuario, pero sí pone de manifiesto la importante característica de viralidad que ofrece, con jugosos datos para su uso en ataques de Ingeniería social; como la creación de un dominio iframe con twitter trends para el troyano sinowal.


8 ) Robo de marcas / suplantación de identidad: Sin exponer datos concretos, se tiene constancia de robo de marcas en twitter así como violación de uso de logos. Una guerra similar que existe con los dominios de nombres pero trasladada aquí. Para evitar el robo de identidad twitter lanzó a mediados de 2009 la característica cuentas verificadas.

9) Gusanos en Twitter: XSS ha sido muy popular estos días, aunque sólo de forma anecdótica. En twitter se uso esta técnica para que cualquier usuario qué en ese momento estuviera logueado, escribiera mensajes elegidos por un atacante, con tan solo pinchar en un enlace. Aunque más que XSS, esa acción se corresponde más con un ataque CSRF, menos conocido pero igual o más peligroso. (ver también punto 2.)
10) Difusión y viralidad de rumores: En este blog ya se ha hablado de la técnica pump&dump (en relación a operaciones financieras). Aún con diferentes propósitos al de esta técnica, twitter ya ha servido como arma para crear pánico financiero.

Mikel Gastesi (@mgastesi) y Emilio Casbas (@ecasbas)
Fuente: S21sec e-crime

2 Trackbacks

  1. […] This post was mentioned on Twitter by dianagonzalez, Coco Rodrich, Francisco Arbaiza, rafa.aguilera, Alberto and others. Alberto said: Caray! – RT @dianagonzalez: Madre mia!RT @rafa_aguilera: Gracias a Mar Monsoriu acabo de toparme con esto… http://bit.ly/bVrZjo […]

  2. 12 febrero, 2010

    Social comments and analytics for this post…

    This post was mentioned on Twitter by rafa_aguilera: Gracias a Mar Monsoriu acabo de toparme con esto… http://bit.ly/bVrZjo

Write a comment:

*

Your email address will not be published.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.