Golpe de Twitter con ataques de suplantación de identidad

usuarios de Twitter que pensaban que sus amigos los dirigían a un "funny blog" Jueves terminó experimentando algo completamente diferente: una estafa de phishing.

Twitter fue golpeado por dos rondas diferentes de phishing el jueves, cuando los delincuentes trataron de tomar el control de las cuentas de usuario y luego usarlas como un trampolín para atacar a los demás.

Tanto Twitter como Facebook han sufrido ataques de phishing en los últimos días. "Los ataques a las redes sociales son cada vez más comunes", dijo Jamie De Guerre, director de tecnología del fabricante de antispam Cloudmark. "Los spammers se están moviendo realmente para atacar redes sociales debido a la popularidad de las redes sociales y también porque no están tan bien defendidas como la mayoría de las plataformas de correo electrónico."

[Más información: los mejores servicios de transmisión de televisión]

Twitter fue golpeado por otro ataque de phishing de alto perfil en enero. Este último ataque había atrapado a varios cientos de víctimas para el mediodía del jueves.

Así es como funcionó el ataque del jueves: en la primera ronda de phishing de Twitter, los hackers crearon cuentas de Twitter falsas y luego comenzaron a seguir a usuarios legítimos de Twitter. Twitter notifica a los usuarios cuando tienen nuevos seguidores, enviando al usuario un enlace a la página del perfil de Twitter del seguidor. En este caso, la página de perfil contenía un enlace a un sitio de phishing. Entonces la víctima, mientras investigaba a su nuevo seguidor, terminaría en el sitio falso Tvviter (.) Com (esta página no es segura para visitar) donde se le pediría que ingrese su nombre de usuario y contraseña de Twitter.

Una vez que los phishers obtuvieron las credenciales de inicio de sesión de su víctima, las usaron para lanzar la segunda ronda de ataques. En esta ronda, publicaron mensajes en Twitter tales como "Hey, revisa esto" o "Oye, hay un blog divertido dando vueltas". Estos mensajes incluyen un enlace a otro sitio de phishing.

Los estafadores son redes sociales de phishing porque tienen más posibilidades de engañar a sus víctimas, dijo Rik Ferguson, un investigador de seguridad de Trend Micro que escribió un blog sobre la campaña de phishing del jueves. "Tienden a ser más exitosos, porque aprovechan la confianza inherente en que se basan estos sistemas", dijo.

Una vez que los delincuentes tienen acceso a estas cuentas, pueden ganar dinero enviando mensajes de correo no deseado a través de Twitter o Facebook, o pueden reutilizar las combinaciones de nombre de usuario y contraseña para tratar de iniciar sesión en otros servicios como el correo electrónico basado en la web, dijo Ferguson.

El jueves, el proveedor de seguridad AppRiver informó sobre una nueva ronda de ataques de phishing en Facebook. Estos mensajes tienen la línea de asunto "Hola" y leen "Comprobar areps (.) At". Esta estafa, que intenta robar los nombres de usuario de Facebook y las credenciales de inicio de sesión, también promueve los mejores (.) En el dominio. (Estos dominios tampoco son seguros para visitar)

Otra razón por la cual el spam de Twitter es tan efectivo es porque los usuarios de Twitter raramente saben qué sitios web van a visitar. Debido a que los mensajes no pueden tener más de 140 caracteres, los remitentes a menudo usan servicios como TinyURL o UR.LC para acortar sus enlaces, ocultando el destino final de los internautas hasta que llegan al sitio.

Las víctimas suelen ser objeto de ataques sin darse cuenta eso. Tim Pratt, un escritor independiente residente en San Francisco, no se dio cuenta de que había sido pirateado hasta que su cuenta de Twitter envió uno de los mensajes de phishing y amigos comenzaron a contactarlo.

Después de revisar su historial de navegación, se dio cuenta de que ' visité uno de los sitios falsos. "No podía creer que tuviera esa URL en mi historial", dijo. "Normalmente soy el que dice: 'No hagas clic en algún enlace al azar en Facebook'".

Piensa que probablemente hizo clic en un enlace enviado por un amigo la madrugada del jueves y luego se conectó al sitio falso sin incluso dándote cuenta. Pratt cambió rápidamente su contraseña y recuperó el control de su cuenta. "Estaba más avergonzado que cualquier otra cosa", dijo.