Sulla scia dell’annuncio fatto da Twitter venerdì nel quale si dice che hanno ‘riscontrato modelli di accesso insoliti che ci hanno portato a identificare tentativi di accesso non autorizzato ai dati degli utenti Twitter’ e la conseguente conferma che ‘i cyber criminali potrebbero aver avuto accesso a informazioni limitate di circa 250.000 utenti’, i Websense Security Labs stanno tracciando una campagna di phishing che si sta diffondendo attraverso la funzionalità Messaggio Diretto di Twitter.
In questo momento non si possono rilevare correlazioni tra i due eventi, gli utenti Twitter dovrebbero prestare attenzione ai segnali di abuso o compromissione del proprio account, così come per i segnali anomali o comportamenti inusuali da parte dei following. In particolare, gli utenti dovrebbero essere attenti, come sempre, quando selezionano qualsiasi link proveniente da messaggi diretti o Tweet soprattutto se la pagina a cui si è reindirizzati chiede credenziali o informazioni personali.
I Security Labs di Websense consigliano di controllare regolarmente il proprio account online per verificare la presenza di segni di compromissione e, come se qualcuno avesse bisogno di una scusa per farlo, aggiornare in modo regolare la password con un livello di complessità adatto (e non con il nome del vostro animale/squadra del cuore/ città o una parola del dizionario) così come ricontrollare le autorizzazioni date alle applicazioni di terze parti che hanno accesso al vostro account. Se avete avuto la sfortuna di essere vittima di questa compromissione, avrete ricevuto una notifica da parte di Twitter che suggerisce queste azioni con alcuni consigli per la sicurezza del proprio account:
Per fortuna ci sono anche i suggerimenti, dati in un recente articolo pubblicato sul sito del The Guardian, che Twitter sta cercando di implementare due fattori di autenticazione nel futuro dal momento che sono alla ricerca di un ruolo di Product Security Software Engineer in cui il candidato avrebbe la possibilità di lavorare con “funzionalità di sicurezza user-facing, come l’autenticazione multi fattore”. L’implementazione dell’autenticazione a due fattori sarebbe la benvenuta in aggiunta ai servizi Twitter a cui, in base ai dati rilasciati nel 2012, si stima abbiano accesso 500 milioni di utenti, di cui 200 sono considerati ‘attivi’.
Viene segnalato che questa recente compromissione avrà un impatto su 250.000 utenti, solo lo 0,0005% degli utenti locali o lo 0,00125% di quelli attivi, può quindi sembrare una piccola goccia nell’oceano di Twitter. Non è una sorpresa che i cyber criminali stiano continuando a colpire gli utenti Twitter scaricando un barile carico di phishing nel metaforico oceano di Twitter.
Questa campagna di phishing, visti i campioni analizzati dai Security Labs di Websense fino a questo momento, utilizza esche come la possibilità di suscitare un click quando si riceve da un amico un messaggio, come ad esempio ‘Hai visto questa tua foto? LOL’, seguito da un URL abbreviato.
L’uso del servizio di abbreviazione degli URL Bitly ci consente di aggiungere l’URL con un più ‘+’ e poi vedere le statistiche per l’URL abbreviato:
Mentre il tasso del click per l’esempio sopra è basso, abbiamo visto numerosi URL unici abbreviati Bitly legati ad un solo account e ci si aspetta che gli autori di questa campagna li facciano circolare rapidamente per evitare di essere rilevati e aumentare in questo modo la possibilità di catturare più vittime.
Da tutti gli URL Bitly analizzati, le statistiche indicano che le vittime non sono confinate in una sola area geografica e che gli utenti danno seguito ai link. Per quanto riguarda la piccola percentuale di referenti non-Twitter, questi possono essere Tweet o Messaggi Diretti a cui si accede attraverso altre applicazioni o indicano che la campagna non limitata solo a Twitter.
Una volta seguito, l’URL abbreviato rimanda a quello che sembra essere un subdominio intermedio o mutevole su hecro(.)ru che reindirizza a siti attivi di phishing ospitati su diversi domini in stile typosquat.
L’URL di phishing indicato nell’esempio sopra, Tivtter(.)com (ACEInsight Report) a un primo sguardo sembra essere legittimo e quindi rischia di ingannare alcune vittime inconsapevoli, facendogli credere di doversi registrare nuovamente alla sessione Twitter scaduta. L’URL in questo esempio sembra circolare attraverso la sequenza alfabetica delle cartelle contenenti la pagina di phishing, forse per ottenere alcune statistiche o suddividere in qualche modo la campagna, come abbiamo visto negli esempi attivi da /a/verify/ verso l’alto (/n/verify/ nel momento in cui stiamo scrivendo). Una volta che si passa alla lettera successiva, qualsiasi tentativo di accedere alla pagina di phishing darà l’errore standard ‘404 – Pagina non trovata’.
Nel caso in cui dobbiate inserire le credenziali del vostro account, queste saranno rubate da chi si nasconde dietro questo schema nefasto e verrà visualizzato il falso errore ‘404 Pagina non trovata’ prima di essere rimandati indietro al sito ufficiale di Twitter come se nulla fosse accaduto:
Così come per l’URL indicato sopra, stiamo anche notando alter modifiche sullo stesso tema typo di Twitter compreso iftwtter(.)com (Report ACEInsight) e iwltter(.)com (ACEInsight Report).
Bitly è un indicatore di molti URL abbreviati come ‘potenzialmente problematici’ sebbene sia probabile che per ognuno di quelli che vengono individuati si è certi che ne nascerà un altro.
Mentre i clienti Websense sono protetti contro il phishing e le altre minacce da ACE, il nostro Advanced Classification Engine, controllate i vostri account personali e condividete le regole base per la sicurezza con i vostri amici e parenti.