Użytkownicy Twittera na celowniku

Użytkownicy popularnego serwisu mikroblogowego Twitter stali się w ostatnich dniach celem skomplikowanego ataku phisherskiego. W Sieci pojawił się serwis WWW, który wykradał dane i automatycznie rozsyłał wiadomości zapraszające użytkowników do wejścia na niebezpieczną stronę. Co ciekawe, twórcy owej strony zapewniają, że nie mieli złych zamiarów...

Ten serwis to TwitterCut; wszystko zaczęło się przed kilkoma dniami, gdy do użytkowników Twittera zaczęły przychodzić wiadomości (sformułowane tak, że wydawało się, iż nadawcą jest ktoś znajomy) zachęcające do odwiedzenia serwisu TwitterCut. Z opisu wynikało, że w ten sposób można zdobyć wiele nowych kontaktów. "Witryna była niezmiernie podobna do oryginalnej strony logowania do Twittera - dlatego wiele osób nabrało się i próbowało się do niej zalogować" - mówi Mikko Hypponen, szef działu badań fińskiej firmy F-Secure.

Jeśli ktoś podał swój login i hasło, serwis natychmiast wykorzystywał je do wysłania w imieniu owego internauty kolejnego pakiety zaproszeń do odwiedzenia TwitterCut - takie wiadomości wysyłane były do wszystkich osób z listy kontaktów owego internauty. Hypponen zwraca uwagę, że serwis działał nieco jak tradycyjny robak pocztowy (który po zainfekowaniu komputera rozsyła się na wszystkie znalezione na dysku adresy) - aczkolwiek w tym przypadku w systemie internauty nie było instalowane żadne złośliwe oprogramowanie. "Mamy tu coś nowego - połączenie typowego ataku phisherskiego z działaniem w stylu robaka" - tłumaczy specjalista. Warto dodać, że dzięki temu zabiegowi atak phisherzy mogli wykraść więcej danych - bo każda osoba, która padła ich ofiarą, automatycznie kierowała na ich stronę innych użytkowników.

TwitterCut został już zgłoszony firmom i organizacjom, które prowadzą "czarne listy" niebezpiecznych stron - więc choć serwis jest wciąż aktywny, to większość popularnych przeglądarek powinna wkrótce zacząć ostrzegać użytkowników przed jego odwiedzeniem.

Co ciekawe, na stronie pojawił się komunikat, w którym właściciele TwitterCut tłumaczą, że wcale nie chcą wykradać danych (mimo iż serwis właśnie to robi - przy próbie logowania zapisuje login i hasło do Twittera). Mówią, że zamierzali stworzyć usługę, dzięki której użytownicy Twittera mogliby szybko zdobyć dużą liczbę nowych kontaktów - posłużył do tego prosty skrypt do przechwytywania loginu i hasła, który kupili w sieci zaledwie za ok. 50 USD. Właściciele serwisu zapowiedzieli też, że w obliczu wszystkich tych kontrowersji postanowili zamknąć stronę - wkrótce ma ona zniknąć z Sieci.

Wiadomo jednak, że zamierzają wkrótce uruchomić nową, podobną usługę - bo kilka dni funkcjonowania TwitterCut pokazało, że serwis ma ogromny potencjał reklamowy.

Zdaniem Hypponena, Twitter może się łatwo zabezpieczyć przed podobnymi (lecz bardziej niebezpiecznymi) akcjami - wystarczy, że serwis wdroży oprogramowanie wykrywające i blokujące masowo wysyłane komunikaty o identycznej treści. W ten sposób można ochronić użytkowników przed spamem, pornografią czy odnośnikami do stron instalujących złośliwe oprogramowanie. W tym ostatnim przypadku wystarczyłoby sprawdzanie, czy przesyłane odnośniki nie są zarejestrowane na którejś z publicznych "czarnych list". Specjalista zastrzega jednak, że z identyfikowaniem niebezpiecznych adresów URL może być niekiedy problem - ponieważ wielu użytkowników Twittera skraca odnośniki za pomocą specjalnych serwisów WWW (w serwisie obowiązuje limit znaków w wiadomości).

Warto dodać, że problem potwierdzili również administratorzy Twittera - w wydanym przez firmę oświadczeniu czytamy: "Przeprowadzamy właśnie masową akcję resetowania haseł - użytkownicy, którzy naszym zdaniem padli ofiarami phisherów, zostaną poproszeni o ich zmianę. Apelujemy też do użytkowników o rozsądek podczas podawania loginów i haseł na stronach WWW".

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.