Avisos 25 de May, 2012

Atacs de robatori de credencials a xarxa social Twitter

S'ha detectat un fort increment d'activitat maliciosa a la xarxa social Twitter consistent en intents de robatori credencials d'accés (usuari i contrasenya) dels usuaris. Aquest es realitza mitjançant l'enviament de missatges directes d'usuari a usuari, intentant aprofitar el factor confiança entre aquests, incitant a fer clic a un enllaç escurçat que porta a l'usuari cap a un lloc web fals. El lloc web en qüestió suplanta l'entrada a la xarxa social Twitter per tal de robar les credencials Twitter i en alguns casos intent d'infecció del sistema de l'usuari.

Recursos afectats: Usuaris de la xarxa social Twitter que hagin rebut el missatge directe i fent clic a l'enllaç escurçat hagin introduït el seu usuari i contrasenya al lloc web fals donant permisos d'accés al perfil Twitter a l'aplicació maliciosa.

Impacte: Robatori de credencials que permet l'ús no autoritzat de compte Twitter per part d'un tercer. Possible infecció del sistema.

Solució:

Es recomana als usuaris finals de xarxes socials, ignorar els missatges directes que no semblin ser generats personalment pels nostres contactes, especialment si estan escrits en un altre idioma diferent al que el nostre contacte fa servir habitualment i inclouen algun enllaç web.
 
Evitar visitar enllaços dels que es desconegui la procedència, especialment els escurçats publicats a les xarxes socials. En cas d'accedir a un enllaç escurçat i trobar-nos amb un lloc web que ens demani credencials d'accés, es recomana verificar sempre que el lloc web sigui legítim comprovant que l'adreça sigui l'esperada i que faci servir el protocol segur HTTPS configurat amb un certificat vàlid emès per una entitat de certificació de confiança.
 
Finalment i de manera general és recomana als usuaris tant revisar l'activació i actualització dels antivirus, el canvi de contrasenya i seguir les recomanacions i bones pràctiques dels proveïdors de xarxes socials per tal de protegir de manera adequada els perfils. Concretament cal revisar el llistat de permisos assignats a aplicacions de tercers per revocar qualsevol aplicació maliciosa.


Detall:

Aquest atac realitzat mitjançant la xarxa social Twitter, consisteix en dirigir un missatge directe a tots el contactes de la víctima inicial amb el següent tipus de contingut:
 
Hello someone is posting terrible things about you…
 
Hello someone is making horrible rumors about you…
 
Hello somebody is saying terrible rumors about you…
 
Hello somebody is making nasty things about you…
 
Hello somebody is posting very bad rumors about you…
 
Hello this user is posting very bad rumors about you…
 
Hello this user is saying nasty rumors about you…
 
Hello this user is making terrible things about you…
 
Hello this user is making really bad things about you…
 
Hello some person is posting horrible rumors about you…
 
Hello some person is making terrible things about you…
 
Hi someone is making really bad rumors about you…
 
Hi someone is saying horrible rumors about you…
 
Hi this user is posting nasty things about you…
 
Hi this user is saying terrible things about you…
 
Hi this user is saying really bad rumors about you…
 
Hi somebody is saying horrible rumors about you…
 
Hi somebody is saying terrible things about you…
 
LMAO…I’m laughing so hard at this pic of you my friend uploaded…
 
Hey some person is posting horrible things about you…
 
Hey some person is saying terrible rumors about you…
 
Hey someone is making very bad rumors about you…
 
Hey somebody is making horrible things about you…
 
Hey this user is posting nasty rumors about you…
 
I found an amazing way to lose weight and increase energy, read this article…
 
I dropped 10 lbs. with this… it’s really amazing. Try it out before it’s gone!
 
I can’t believe this but there are some real nasty things being said about you here
 
El missatge inclou un enllanç escurçat que pot ser diferent en cada cas que redirigeix cap a una lloc web del domini hXXp://twititre.com/, visualment similar a twitter.com per tal de passar desapercebut, mostrant un lloc web que simula ser la pàgina principal d'accés a Twitter. Si l'usuari introdueix les seves credencials, serà redirigit novament cap a Twitter on se li demanarà permisos per tal de donar privilegis a una aplicació que realment és un codi maliciós que repetirà el mateix esquema per tal de captar noves víctimes.
 
Aquest esquema d'atac ja s'ha fet servir en el passat, i el mateix Twitter ja va avisar al seu usuaris a través del seu blog:
 http://blog.twitter.com/2010/02/avoid-phishing-scams.html
 


Refs:

Guia de seguretat a Facebook: https://www.facebook.com/safety/attachment/Guide%20to%20Facebook%20Security.pdf

Recomanacions de Twitter: https://support.twitter.com/articles/349068-seguridad-como-mantenerla-en-tu-cuenta

Recomanacions de LinkedIn: https://help.linkedin.com/app/answers/detail/a_id/267/ls/1742%2C1748%2C1764%2C2252

Publicat a: Avisos