Twitter: Um campo crescente de minas de segurança

Ao mesmo tempo, os fornecedores de antivírus estavam alertando sobre novos ataques de phishing que se espalhavam pelo Twitter. Usando contas do Twitter, os phishers seguiriam os usuários e os infectariam por meio de um link para uma página de perfil falsa carregada de malware. Como as mensagens instantâneas, o MySpace e o Facebook antes, o Twitter havia atingido a maioridade.

Após três anos de desenvolvimento e crescimento relativamente silenciosos, a ascensão meteórica do serviço em 2009 foi difícil. Além dos problemas de escala devido ao fluxo de novos usuários, em janeiro um hack do Twitter comprometeu as contas de 33 usuários de alto perfil, incluindo o presidente Barack Obama, o âncora da CNN Rick Sanchez e a apresentadora Britney Spears. para remover malware do seu PC Windows]

Em abril, um worm do Twitter conhecido como "Mikeyy" ou "StalkDaily" surgiu. Semelhante ao worm Samy de 2005 no MySpace, o worm Mikeyy foi criado por um homem de 17 anos que se aproveitou de um truque de código para ganhar notoriedade por seu site, o StalkDaily.com. O Twitter desligou - além de alguns vírus de acompanhamento ("Como remover o novo vírus Mikeyy!") - rapidamente. Após os ataques de worm, o co-fundador Biz Stone escreveu no blog da empresa: "O Twitter leva a segurança muito a sério e estaremos acompanhando todas as frentes".

Perigos da URL encurtada Paralelamente ao crescimento do Twitter está a expansão dos serviços de redução de URL. Ajustar seus pensamentos em 140 caracteres requer prática; incluindo URLs completos é quase impossível. Normalmente URLs têm que ser truncados através de serviços como Bit.ly e TinyURL.com, que também mascaram o verdadeiro URL de destino e podem apresentar seus próprios problemas de segurança como resultado.

Os primeiros sinais de problemas de URL encurtados vieram com um par de worms do Twitter que prometeram ajudar os usuários a remover o worm Mikeyy. Em junho, uma onda de URLs envenenadas escondidas varreu o Twitter, usando links Bit.ly para domínios low.cc e myworlds.mp onde os usuários eram solicitados a baixar um arquivo chamado free-stream-player-v_125.exe para visualizar um vídeo. O arquivo continha malware. Bit.ly e TinyURL têm respondido a denúncias de abuso; Bit.ly, por exemplo, agora bloqueia os domínios low.cc e myworlds.mp.

Pelo menos um produto de segurança, o ZoneAlarm, bloqueia o acesso ao TinyURL.com por padrão, listando-o como um site potencialmente malicioso (você pode desbloquear isto). Você tem outras maneiras de se proteger também. O TinyURL tem um recurso de pré-visualização, e o Firefox tem um complemento de pré-visualização do Bit.ly. Alguns aplicativos do Twitter, como TweetDeck e Tweetie, também pré-visualizam o URL antes de você clicar em

O pesquisador de segurança Aviv Raff designou julho de 2009 como "Um mês de bugs do Twitter", durante o qual os pesquisadores revelarão uma nova vulnerabilidade do Twitter a cada dia. Citando esforços anteriores focados em navegadores e vulnerabilidades do Mac OS, Raff diz que seu objetivo não é quebrar o Twitter, mas melhorá-lo e resolver todas as falhas de redes sociais: "Espero que o Twitter e outros provedores de Web 2.0 API trabalhem em estreita colaboração com seus parceiros." Consumidores API para desenvolver produtos mais seguros ". O primeiro bug divulgado no Twitter diz respeito a falhas de script entre sites em Bit.ly. Poucas horas após a divulgação, Bit.ly os corrigiu

Siga-me, por favor

Um objetivo frequente dos twitteiros é criar uma audiência; algumas pessoas classificam seu perfil como um sucesso se ele tiver centenas ou até milhares de seguidores. Um site chamado TwitterCut anunciou que aumentaria drasticamente sua base de seguidores - se você fornecesse seu nome de usuário e senha. A maioria dos fornecedores de segurança considerou um golpe de pay-per-click

As pessoas que se apaixonaram pelo golpe viram suas contas no Twitter mais tarde usadas no ataque de phishing "Melhor Vídeo", no qual qualquer pessoa que visitou um link acabou baixando um PDF mal-intencionado que tentava instalar um produto de segurança falso, caso o PC não tivesse a última atualização de segurança da Adobe.

O phishing

A maioria das tentativas de phishing no Twitter, no entanto, são mais diretas. O Twitter notifica rotineiramente usuários de seguidores recentes por e-mail, geralmente com um link para o perfil do seguidor. Ataques recentes de phishing falsificaram esse e-mail e mantiveram um link para uma falsa página de login no Twitter.

Outra variação do esquema de phishing enviou um tweet dizendo: "Ei, confira este blog engraçado sobre você." Clicar na URL levou a vítima a uma página falsa (em twitter.access-logins.com/login/). Não importa quão bom o site pareça, examine a URL e pense duas vezes antes de inserir suas informações - especialmente se você já estiver logado no Twitter.

Os bandidos também tentaram táticas mais sutis, como a pornografia. nome do jogo. De acordo com o jogo, para criar o nome que você usará durante sua carreira de filme adulto, você pega o nome do seu primeiro animal de estimação e o combina com a rua em que cresceu, o nome de solteira de sua mãe ou o modelo do seu carro.. Reconheça essas coisas? São questões de segurança comuns. Ao twittar suas respostas, você pode conceder acesso à sua conta do Twitter - ou à sua conta bancária.

Algumas das regras de segurança emergentes para usar o Twitter são simplesmente bom senso. Assim como você não deixaria uma mensagem telefônica dizendo que estaria fora da cidade, não envie seus planos de férias no Twitter. E, por favor, não compartilhe sua localização se você for um congressista norte-americano em uma viagem confidencial no exterior. Basta perguntar ao deputado Pete Hoekstra (R-MI), que twittou no início deste ano: "Acabei de desembarcar em Bagdá. Acredito que pode ser a primeira vez que tenho serviço [BlackBerry] no Iraque."