Twitter: Mỏ bảo mật đang phát triển

Tháng Sáu, thế giới xem như tweets từ các đường phố của Tehran tràn ngập Twitter. Người dùng Twitter thường xuyên - và những người thậm chí không nghe nói về dịch vụ microblogging - đột nhiên và đồng thời chứng kiến ​​tiềm năng của nó.

Đồng thời, các nhà cung cấp chống vi-rút đã cảnh báo về các cuộc tấn công lừa đảo mới lan truyền qua Twitter. Sử dụng tài khoản Twitter, những kẻ lừa đảo sẽ theo dõi người dùng và sau đó lây nhiễm chúng thông qua một liên kết đến một trang hồ sơ giả mạo chứa đầy phần mềm độc hại. Giống như nhắn tin tức thời, MySpace và Facebook trước đó, Twitter đã đến tuổi.

Sau ba năm phát triển và tăng trưởng tương đối yên tĩnh, sự gia tăng nhanh chóng của dịch vụ trong năm 2009 đã trở nên khó khăn. Bên cạnh các vấn đề mở rộng quy mô do dòng người dùng mới, vào tháng 1, Twitter đã xâm phạm tài khoản của 33 người dùng cao cấp, trong đó có Tổng thống Barack Obama, RickN, và giải trí Britney Spears.

để loại bỏ phần mềm độc hại khỏi PC Windows của bạn]

Vào tháng 4, một con sâu Twitter được gọi là "Mikeyy" hoặc "StalkDaily" đã ngẩng đầu lên. Tương tự như sâu Samy 2005 trên MySpace, sâu Mikeyy được viết bởi một người đàn ông 17 tuổi đã lợi dụng một mã quirk để đạt được tiếng tăm cho trang web của mình, StalkDaily.com. Twitter tắt nó đi - cộng thêm một vài virus tiếp theo ("Cách loại bỏ con sâu mới của Mikeyy!") - khá nhanh. Theo sau cuộc tấn công sâu bọ, đồng sáng lập Biz Stone đã viết trên blog của công ty, "Twitter rất coi trọng vấn đề bảo mật và chúng tôi sẽ theo dõi tất cả các mặt trận."

Các mối nguy hiểm rút ngắn URL

Song song với sự phát triển của Twitter là sự mở rộng các dịch vụ rút ngắn URL. Kết hợp suy nghĩ của bạn vào 140 ký tự sẽ thực hành; bao gồm cả URL đầy đủ là gần như không thể. Thông thường, URL phải được cắt ngắn thông qua các dịch vụ như Bit.ly và TinyURL.com, cũng che giấu URL đích thực và có thể trình bày các vấn đề bảo mật của riêng chúng. Kết quả đầu tiên của sự cố URL rút ngắn đi kèm với cặp sâu Twitter hứa hẹn sẽ giúp người dùng loại bỏ sâu Mikeyy. Vào tháng 6, một làn sóng các URL bị nhiễm độc ẩn đã quét Twitter, sử dụng liên kết Bit.ly tới các miền low.cc và myworlds.mp nơi người dùng được yêu cầu tải xuống một tệp có tên free-stream-player-vottenham.exe để xem video. Tệp đã chứa phần mềm độc hại. Bit.ly và TinyURL đã đáp ứng các báo cáo về sự lạm dụng; Bit.ly, cho một, bây giờ chặn các miền low.cc và myworlds.mp.

Ít nhất một sản phẩm bảo mật, ZoneAlarm, chặn truy cập vào TinyURL.com theo mặc định, liệt kê nó là một trang web độc hại tiềm ẩn (bạn có thể bỏ chặn nó). Bạn cũng có những cách khác để tự bảo vệ mình. TinyURL có tính năng xem trước và Firefox có phần bổ trợ xem trước Bit.ly. Một số ứng dụng Twitter, chẳng hạn như TweetDeck và Tweetie, cũng xem trước URL trước khi bạn nhấp chuột.

Nhà nghiên cứu bảo mật Aviv Raff được chỉ định tháng 7 năm 2009 là "Một tháng của Twitter Bugs", trong đó các nhà nghiên cứu tiết lộ lỗ hổng mới của Twitter mỗi ngày. Trích dẫn những nỗ lực trước đó tập trung vào các trình duyệt và trên các lỗ hổng của Apple Mac OS, Raff nói rằng mục tiêu của anh không phải là phá vỡ Twitter mà là cải thiện nó và giải quyết tất cả các lỗi mạng xã hội: "Tôi hy vọng rằng các nhà cung cấp API Web 2.0 và Twitter khác sẽ làm việc chặt chẽ với họ Người tiêu dùng API để phát triển các sản phẩm bảo mật hơn. " Lỗi Twitter được tiết lộ đầu tiên có liên quan đến các lỗ hổng trong kịch bản lệnh chéo trong Bit.ly. Trong vòng vài giờ sau khi tiết lộ, Bit.ly đã sửa chúng.

Theo tôi,

Mục tiêu thường xuyên của Twitter là xây dựng khán giả; một số người xếp hạng hồ sơ của họ thành công nếu có hàng trăm hoặc thậm chí hàng nghìn người theo dõi. Một trang web được gọi là TwitterCut quảng cáo rằng nó sẽ làm tăng đáng kể cơ sở người theo dõi của bạn - nếu bạn đã cho nó tên người dùng và mật khẩu của bạn.

Những người rơi vì lừa đảo đã nhìn thấy tài khoản Twitter của họ sau này được sử dụng trong cuộc tấn công lừa đảo "Video tốt nhất", trong đó bất kỳ ai truy cập vào liên kết trong tweet sẽ tải xuống một tệp PDF độc hại mà sau đó đã cố gắng cài đặt một sản phẩm bảo mật giả mạo nếu máy tính thiếu bản cập nhật bảo mật mới nhất của Adobe.

Gone Phishing

Tuy nhiên, hầu hết các nỗ lực lừa đảo của Twitter đều đơn giản hơn. Twitter thường xuyên thông báo cho người dùng những người theo dõi gần đây qua e-mail, thường có liên kết đến tiểu sử của người theo dõi. Các cuộc tấn công lừa đảo gần đây giả mạo rằng e-mail và giữ liên kết tới trang đăng nhập Twitter giả.

Một biến thể khác của lừa đảo lừa đảo đã gửi ra một tweet đọc, "Này, hãy xem blog buồn cười này về bạn." Nhấp vào URL đã đưa nạn nhân đến trang giả mạo (tại twitter.access-logins.com/login/). Bất kể trang web trông đẹp như thế nào, hãy kiểm tra URL và suy nghĩ kỹ về việc nhập thông tin của bạn - đặc biệt nếu bạn đã đăng nhập vào Twitter.

Kẻ xấu cũng đã thử các chiến thuật tinh tế hơn, chẳng hạn như khiêu dâm- tên trò chơi. Theo trò chơi, để tạo tên bạn sẽ sử dụng trong sự nghiệp phim người lớn của bạn, bạn lấy tên của thú cưng đầu tiên của bạn và kết hợp nó với đường phố bạn lớn lên, tên thời con gái của mẹ bạn, hoặc mô hình của chiếc xe của bạn. Nhận ra những điều đó? Chúng là những câu hỏi bảo mật thông thường. Bằng cách tweet câu trả lời của bạn, bạn có thể cho phép truy cập vào tài khoản Twitter của mình - hoặc vào tài khoản ngân hàng của bạn.

Một số quy tắc bảo mật mới nổi để sử dụng Twitter đơn giản là thông thường. Cũng giống như bạn sẽ không để lại một tin nhắn điện thoại nói rằng bạn sẽ được ra khỏi thị trấn, không tweet kế hoạch kỳ nghỉ của bạn. Và vui lòng không chia sẻ vị trí của bạn nếu bạn là một đại hội Hoa Kỳ đang thực hiện chuyến đi bí mật ở nước ngoài. Chỉ cần hỏi đại diện Pete Hoekstra (R-MI), người đã tweet vào đầu năm nay: "Chỉ cần hạ cánh ở Baghdad. Tôi tin rằng đây có thể là [lần đầu tiên tôi có dịch vụ [BlackBerry] ở Iraq."