Twitter: un campo minato di sicurezza crescente

Allo stesso tempo, i produttori di antivirus hanno avvertito di nuovi attacchi di phishing diffusi via Twitter. Utilizzando gli account Twitter, i phisher seguirebbero gli utenti e li infetterebbero tramite un collegamento a una pagina di profilo falsa carica di malware. Come la messaggistica istantanea, MySpace e Facebook, Twitter aveva raggiunto la maggiore età.

Dopo tre anni di sviluppo e crescita relativamente silenziosi, l'aumento meteorologico del servizio nel 2009 è stato difficile. A parte i problemi di ridimensionamento dovuti all'afflusso di nuovi utenti, a gennaio un attacco di Twitter ha compromesso i conti di 33 utenti di alto profilo, tra cui il presidente Barack Obama, l'ancora CNN Rick Sanchez e l'intrattenitrice Britney Spears.

[Letture: How per rimuovere il malware dal PC Windows]

In aprile, un worm di Twitter noto come "Mikeyy" o "StalkDaily" ha alzato la testa. Simile al worm Samy del 2005 su MySpace, il worm Mikeyy è stato creato da un ragazzo di 17 anni che ha approfittato di un capriccio del codice per ottenere notorietà per il suo sito Web, StalkDaily.com. Twitter spegnilo - più alcuni virus di follow-up ("Come rimuovere il nuovo worm Mikeyy!") - abbastanza velocemente. Seguendo gli attacchi worm, il co-fondatore Biz Stone ha scritto sul blog aziendale, "Twitter prende molto sul serio la sicurezza e seguiremo su tutti i fronti."

Pericoli URL abbreviati

Parallelamente alla crescita di Twitter è l'espansione di servizi di abbreviazione di URL. Adattare i tuoi pensieri in 140 caratteri richiede pratica; compresi gli URL completi è quasi impossibile. Di solito gli URL devono essere troncati attraverso servizi come Bit.ly e TinyURL.com, che mascherano anche il vero URL di destinazione e di conseguenza possono presentare i propri problemi di sicurezza di conseguenza.

I primi segnali di problemi URL abbreviati sono arrivati ​​con un coppia di worm di Twitter che promettevano di aiutare gli utenti a rimuovere il worm Mikeyy. A giugno un'ondata di URL nascosti e avvelenati ha colpito Twitter, utilizzando i collegamenti Bit.ly ai domini low.cc e myworlds.mp in cui agli utenti è stato chiesto di scaricare un file chiamato free-stream-player-v_125.exe per visualizzare un video. Il file conteneva malware. Bit.ly e TinyURL hanno reagito alle segnalazioni di abuso; Bit.ly, per esempio, blocca i domini low.cc e myworlds.mp.

Almeno un prodotto di sicurezza, ZoneAlarm, blocca l'accesso a TinyURL.com per impostazione predefinita, elencandolo come sito potenzialmente dannoso (puoi sbloccarlo esso). Hai altri modi per proteggere te stesso. TinyURL ha una funzione di anteprima e Firefox ha un componente aggiuntivo di anteprima Bit.ly. Alcune app di Twitter, come TweetDeck e Tweetie, visualizzano anche l'anteprima dell'URL prima di fare clic.

Ricercatore di sicurezza Aviv Raff designato luglio 2009 come "Un mese di bug di Twitter", durante il quale i ricercatori devono rivelare ogni giorno una nuova vulnerabilità di Twitter. Citando gli sforzi precedenti incentrati sui browser e sulle vulnerabilità di Apple Mac OS, Raff afferma che il suo obiettivo non è quello di rompere Twitter ma di migliorarlo e affrontare tutti i difetti del social networking: "Spero che Twitter e altri provider di API Web 2.0 lavorino a stretto contatto con loro Consumatori API per sviluppare prodotti più sicuri. " Il primo bug di Twitter rivelato riguardava difetti di scripting cross-site in Bit.ly. Entro poche ore dalla divulgazione, Bit.ly li ha corretti.

Follow Me, Please

Un obiettivo frequente di Twitterers è quello di creare un pubblico; alcune persone considerano il loro profilo un successo se ha centinaia o addirittura migliaia di follower. Un sito chiamato TwitterCut pubblicizzava che avrebbe aumentato drasticamente la tua base di follower - se gli avessi dato il tuo nome utente e la tua password. La maggior parte dei venditori di sicurezza lo ritenne una truffa pay-per-click.

Le persone che cadevano per la truffa vedevano i loro account Twitter in seguito utilizzati nell'attacco di phishing "Best Video", in cui chiunque visitava un collegamento nel tweet finiva per scaricare un PDF dannoso che ha tentato di installare un prodotto di sicurezza fasullo se al PC mancava l'ultimo aggiornamento di sicurezza di Adobe.

Gone Phishing

La maggior parte dei tentativi di phishing su Twitter, tuttavia, è più semplice. Twitter informa regolarmente gli utenti dei follower recenti tramite e-mail, spesso con un link al profilo del follower. I recenti attacchi di phishing hanno falsificato l'e-mail e contenevano un link a una pagina di accesso di Twitter fittizia.

Un'altra variante della truffa di phishing ha inviato un tweet che diceva "Ehi, dai un'occhiata a questo divertente blog su di te". Facendo clic sull'URL ha portato la vittima a una pagina falsa (su twitter.access-logins.com/login/). Non importa quanto sia bello il sito, esaminare l'URL e pensarci due volte prima di inserire le tue informazioni, specialmente se hai già effettuato l'accesso a Twitter.

I cattivi hanno provato anche tattiche più sottili, come il porno- nome gioco. Secondo il gioco, per creare il nome che userai durante la tua carriera da adulto, prendi il nome del tuo primo animale domestico e combinalo con la strada in cui sei cresciuto, il nome da nubile di tua madre o il modello della tua auto. Riconoscere quelle cose? Sono domande di sicurezza comuni. Twittando le tue risposte, potresti dare accesso al tuo account Twitter o al tuo conto bancario.

Alcune delle regole di sicurezza emergenti per l'utilizzo di Twitter sono semplicemente buonsenso. Proprio come non lasceresti un messaggio telefonico dicendo che sarai fuori città, non inviare tweet ai tuoi programmi di vacanza. E per favore non condividere la tua posizione se sei un membro del Congresso degli Stati Uniti in viaggio all'estero confidenziale. Chiedete al rappresentante Pete Hoekstra (R-MI), che ha tweettato all'inizio di quest'anno: "Sono appena atterrato a Baghdad, credo che potrebbe essere la prima volta che ho avuto un servizio [di BlackBerry] in Iraq."