Twitter com ataques de phishing

Usuários do Twitter que pensavam que os amigos estavam direcionando "Blog engraçado" quinta-feira acabou por experimentar algo completamente diferente: um esquema de phishing

O Twitter foi atingido por duas rodadas de phishing nesta quinta-feira, enquanto criminosos tentavam assumir o controle das contas de usuários e usá-las como um trampolim para atacar outras pessoas.

Tanto o Twitter quanto o Facebook foram atingidos por ataques de phishing nos últimos dias. "Os ataques das redes sociais estão se tornando cada vez mais comuns", disse Jamie De Guerre, diretor de tecnologia da fabricante de antispam Cloudmark. "Os spammers estão realmente se movendo para atacar redes sociais por causa da popularidade das redes sociais e também porque eles não são tão bem defendidos quanto a maioria das plataformas de e-mail."

[Mais leitura: Os melhores serviços de streaming de TV]

O Twitter foi atingido por outro ataque de phishing de alto perfil em janeiro. Este último ataque atingiu várias centenas de vítimas no meio-dia de quinta-feira.

Veja como o ataque de quinta-feira funcionou: na primeira rodada de phishing do Twitter, hackers criaram contas falsas no Twitter e começaram a seguir usuários legítimos do Twitter. O Twitter notifica os usuários quando eles têm novos seguidores, enviando ao usuário um link para a página de perfil do seguidor no Twitter. Nesse caso, a página de perfil continha um link para um site de phishing. Assim, a vítima, enquanto investigava seu novo seguidor, acabaria no site falso Tvviter (.) Com (esta página não é segura para visitar) onde ele seria solicitado a digitar seu nome de usuário e senha no Twitter.

Uma vez que os phishers obteve as credenciais de login da vítima, eles usaram para iniciar a segunda rodada de ataques. Nesta rodada, eles postaram mensagens no Twitter, como "ei, cheque isso" ou "Ei, há esse blog engraçado por aí". Essas mensagens incluem um link para outro site de phishing.

Os golpistas são redes sociais de phishing porque têm mais chances de enganar suas vítimas, disse Rik Ferguson, pesquisador de segurança da Trend Micro que blogou sobre a campanha de phishing de quinta-feira. Eles "tendem a ser mais bem sucedidos, porque se aproveitam da confiança inerente que esses sistemas são baseados", disse ele.

Uma vez que os criminosos tenham acesso a essas contas, eles podem ganhar dinheiro enviando mensagens de spam via Twitter ou Facebook., ou eles podem reutilizar as combinações de nome de usuário e senha para tentar entrar em outros serviços como e-mail baseado na Web, disse Ferguson. Na quinta-feira, o fornecedor de segurança AppRiver relatou uma nova rodada de ataques de phishing no Facebook. Essas mensagens têm a linha de assunto "Olá" e lêem "Verificar os arquivos (.) Em". Esse golpe, que tenta roubar nomes de usuário do Facebook e credenciais de login, também promove os melhores (.) No domínio. (Esses domínios também não são seguros para serem visitados)

Outra razão pela qual o spam do Twitter é tão eficaz é porque os usuários do Twitter raramente sabem quais sites vão visitar. Como as mensagens não podem ter mais de 140 caracteres, os remetentes costumam usar serviços como o TinyURL ou o UR.LC para encurtar seus links, ocultando o destino final dos internautas até chegarem ao site.

As vítimas geralmente são roubadas sem perceber isto. Tim Pratt, um escritor freelancer baseado em São Francisco, não percebeu que tinha sido hackeado até que sua conta no Twitter enviou uma das mensagens de phishing e amigos começaram a contatá-lo.

Depois de verificar o histórico de seu navegador, ele percebeu que d visitou um dos sites falsos. "Eu não podia acreditar que eu tinha essa URL na minha história", disse ele. "Geralmente sou aquele que diz: 'Não clique em um link aleatório no Facebook.'"

Ele acha que provavelmente clicou em um link enviado por um amigo na madrugada de quinta-feira e depois entrou no site falso sem mesmo percebendo isso. Pratt rapidamente mudou sua senha e recuperou o controle de sua conta. "Eu estava mais envergonhado do que qualquer outra coisa", disse ele.