Twitter: A Growing Security Minefield

In W czerwcu świat patrzył, jak Twitter z Twittera piszą tweety z ulic Teheranu. Często użytkownicy Twittera - a także osoby, które nawet nie słyszały o usłudze mikroblogowania - nagle i jednocześnie obserwowali jej potencjał.

Jednocześnie producenci oprogramowania antywirusowego ostrzegali przed nowymi atakami phishingowymi, które rozprzestrzeniają się za pośrednictwem Twittera. Korzystając z kont na Twitterze, phisherzy podążają za użytkownikami, a następnie infekują je za pomocą linku do fałszywej strony profilu obciążonej złośliwym oprogramowaniem. Podobnie jak wiadomości błyskawiczne, MySpace i Facebook przed nim, Twitter osiągnął pełnoletność.

Po trzech latach względnie cichego rozwoju i wzrostu, błyskawiczny wzrost usług w 2009 roku był trudny. Oprócz kwestii skalowania spowodowanych napływem nowych użytkowników, w styczniu hack Twittera naruszył konta 33 głośnych użytkowników, w tym prezydenta Baracka Obamy, kotwicy CNN Ricka Sancheza i artysty Britney Spears.

[Czytaj dalej: Jak w celu usunięcia złośliwego oprogramowania z komputera z systemem Windows]

W kwietniu pojawił się robak Twitter znany jako "Mikeyy" lub "StalkDaily". Podobnie jak robak Samy z 2005 roku na MySpace, robak Mikeyy został stworzony przez 17-latka, który wykorzystał dziwaczkę kodu, by zyskać rozgłos na swojej stronie internetowej StalkDaily.com. Zamknięcie Twittera - plus kilka kolejnych wirusów ("Jak usunąć nowego robaka Mikeyy!") - dość szybko. Po atakach robaków, współwłaściciel Biz Stone napisał na blogu firmy: "Twitter bardzo poważnie podchodzi do kwestii bezpieczeństwa, a my będziemy śledzić na wszystkich frontach."

Skrócone adresy URL Niebezpieczeństwa

Równolegle do rozwoju Twittera jest ekspansja usług skracania adresów URL. Dopasowanie myśli do 140 znaków wymaga praktyki; w tym pełne adresy URL jest prawie niemożliwe. Zazwyczaj adresy URL muszą zostać obcięte za pomocą usług takich jak Bit.ly i TinyURL.com, które również maskują prawdziwy docelowy adres URL i mogą w rezultacie przedstawić własne problemy bezpieczeństwa.

Pierwsze oznaki problemów z adresem URL o skróconym adresie URL pojawiły się Para robaków na Twitterze, które obiecały pomóc użytkownikom w usunięciu robaka Mikeyy. W czerwcu fala ukrytych, zatrutych adresów URL przetoczyła się przez Twitter, używając linków Bit.ly do domen low.cc i myworlds.mp, gdzie użytkownicy zostali poproszeni o pobranie pliku o nazwie free-stream-player-v_125.exe, aby obejrzeć wideo. Plik zawierał złośliwe oprogramowanie. Bit.ly i TinyURL reagują na zgłoszenia o nadużyciach; Bit.ly, na przykład, blokuje teraz domeny low.cc i myworlds.mp.

Co najmniej jeden produkt zabezpieczający ZoneAlarm domyślnie blokuje dostęp do TinyURL.com, wymieniając go jako potencjalnie złośliwą witrynę (można odblokować to). Masz również inne sposoby na ochronę siebie. TinyURL ma funkcję podglądu, a Firefox ma dodatek do podglądu Bit.ly. Niektóre aplikacje na Twitterze, takie jak TweetDeck i Tweetie, również wyświetlają podgląd adresu URL przed kliknięciem.

Analityk ds. Bezpieczeństwa Aviv Raff, wyznaczony na lipiec 2009 r. Jako "Miesiąc błędów na Twitterze", podczas którego naukowcy mają codziennie ujawniać nową lukę na Twitterze. Powołując się na wcześniejsze wysiłki koncentrujące się na przeglądarkach i lukach Apple Mac OS, Raff mówi, że jego celem nie jest łamanie Twittera, ale poprawienie go i usunięcie wszystkich wad sieci społecznościowych: "Mam nadzieję, że Twitter i inni dostawcy API Web 2.0 będą ściśle współpracować ze swoimi Klienci korzystający z API do opracowywania bezpieczniejszych produktów. " Pierwszy ujawniony błąd Twittera dotyczył błędów skryptów cross-site w Bit.ly. W ciągu kilku godzin od ujawnienia, Bit.ly poprawił je.

Pójdź za mną, proszę

Częstym celem Twitterers jest zbudowanie widowni; niektóre osoby oceniają swój profil jako sukces, jeśli ma setki lub nawet tysiące obserwujących. Witryna o nazwie TwitterCut reklamowała, że ​​znacznie zwiększyłaby liczbę Twoich obserwujących - jeśli podałeś jej nazwę użytkownika i hasło. Większość dostawców zabezpieczeń uznała to za oszustwo za kliknięcie.

Osoby, które padły ofiarą oszustwa, zobaczyły swoje konta na Twitterze później użyte w ataku phishingowym "Najlepszy film", w którym każdy, kto odwiedził link w tweecie, zakończyło pobieranie złośliwy plik PDF, który próbował zainstalować fałszywy produkt bezpieczeństwa, jeśli na komputerze nie ma najnowszej aktualizacji zabezpieczeń firmy Adobe.

Gone Phishing

Większość prób phishingowych na Twitterze jest jednak prostsza. Twitter regularnie powiadamia użytkowników o ostatnich obserwatorach za pośrednictwem poczty e-mail, często z linkiem do profilu osoby obserwującej. Ostatnie ataki phishingowe podszyły się pod ten adres e-mail i zawierały link do fałszywej strony logowania na Twitterze.

Kolejna odmiana oszustwa phishingowego wysłała wiadomość na Twitterze: "Hej, sprawdź ten śmieszny blog o tobie". Kliknięcie adresu URL spowodowało, że ofiara trafiła na fałszywą stronę (pod adresem twitter.access-logins.com/login/). Nieważne jak dobra strona wygląda, sprawdź adres URL i zastanów się dwa razy nad wprowadzeniem twoich informacji - zwłaszcza jeśli jesteś już zalogowany na Twitterze.

Złośliwi próbowali także bardziej subtelnych taktyk, takich jak pornografia. nazwa gry. Zgodnie z grą, aby stworzyć nazwę, której będziesz używać podczas kariery filmowej dla dorosłych, bierzesz imię swojego pierwszego pupila i łączysz je z ulicą, na której dorastałeś, panieńskim imieniem matki lub modelem twojego samochodu. Rozpoznawać te rzeczy? Są to typowe pytania bezpieczeństwa. Poprzez tweetowanie swoich odpowiedzi, możesz dać dostęp do swojego konta na Twitterze lub na konto bankowe.

Niektóre z nowych zasad bezpieczeństwa dotyczących korzystania z Twittera są po prostu zdroworozsądkowe. Tak jak nie zostawiłbyś wiadomości telefonicznej mówiącej, że będziesz poza miastem, nie twórz swoich planów urlopowych. Nie udostępniaj swojej lokalizacji, jeśli jesteś kongresmenem z USA, który wyrusza w poufną podróż zagraniczną. Po prostu zapytaj przedstawiciela Pete'a Hoekstry (R-MI), który napisał na Twitterze w tym roku: "Właśnie wylądowałem w Bagdadzie, wierzę, że może to być pierwszy raz, kiedy mam [BlackBerry] służbę w Iraku."