טוויטר מקבל ממוקד שוב על ידי תולעת פישינג התקפה

משתמשים טוויטר היו מרומה לתוך לחשוף את פרטי הכניסה והסיסמה שלהם לאתר אינטרנט כי אז דואר זבל שלהם.

האשם הוא אתר אינטרנט שנקרא TwitterCut. כמה ממשתמשי Twitter החלו לקבל הודעה שנראתה כאילו היא מאחד מחבריהם וכללה קישור לאתר האינטרנט של TwitterCut. ההודעה מרמזת שהם יכולים להשיג יותר אנשי קשר של טוויטר על-ידי ביצוע הקישור.

פעם אחת TwitterCut נראתה די דומה לדף ההתחברות האמיתי של טוויטר, אמר Mikko Hypponen, הצעת המחקר הראשית של ספק האבטחה F-Secure. קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

אם אדם נכנס לפרטי ההתחברות שלו, TwitterCut היה שולח את אותה הודעה דרך Twitter לכל אנשי הקשר של הקורבן, סוג של התקף פישינג עם מאפיינים דמויי תולעת. אף תוכנה לא זדונית מותקנת במחשב של משתמש, אומר היפונן. למרות ש- TwitterCut כנראה מחזיקה בפרטי ההתחברות עבור חשבונות רבים, לא נראה שהחשבונות האלה שימשו כדי לסלק קישורים לאתרים מסוכנים יותר.

אתר האינטרנט של TwitterCut דווח על שירותים שרשימה שחורה של אתרי אינטרנט מזיקים, למרות שהיא עדיין פעילה. בהודעת אזהרה עכשיו על TwitterCut, מפעילי האתר אמרו שהם לא מתכוונים לדמות אנשים.

במקום זאת, הם אומרים שהם ניסו ליצור מה שנקרא רכבת לצפצף, אשר אתרים המתיימרים לתת למשתמשים במהירות הרבה עוקבים. הם אמרו שהם קנו את התסריט ההתחברות באתר שלהם ב -50 דולר.

"לא היינו דיוג חשבונות Twitter בכלל", נאמר בהודעה. "אנחנו סוגרים את האתר הזה."

Hypponen אמר שטוויטר צריך להיות על המשמר עבור סימנים של דואר זבל, כגון כאשר הודעה זהה מופיע מאות ומאות פעמים על פני פרופילים של המשתמשים כי הוא לא "retweet, "או על ידי פרסום מחדש של תוכן אחר.

Twitter יכול גם להציג כתובות אתרים (Uniform Resource Locators) כדי לוודא שהם כבר לא מנועים כבר מסיבות אבטחה, אמר Hypponen. דפדפני אינטרנט רבים וכן מנועי חיפוש יזהירו או יחסמו אתרי אינטרנט חשודים.

רוב הכתובות שפורסמו בטוויטר קוצרו באמצעות שירותים כגון TinyURL כדי להתאים את אורך ההודעה באורך 140 תווים ש- Twitter מטיל, מסתיר את היעד האמיתי ולהפוך את המשתמשים תלויים האמינות של החברים שלהם בעת לחיצה על קישורים. השירות נפגע על ידי תולעים אחרות בתחילת השנה.

טוויטר הודה בבעיה של התחזות ביום שלישי בלילה.

"כרגע אנחנו דוחפים איפוס סיסמה בחשבונות שלדעתנו נתפסו בהונאת דיוג" אמרה החברה. "בבקשה לממש את השיפוט הטוב ביותר כאשר חושבים על שחרור שם המשתמש והסיסמה שלך לצדדים שלישיים."