Investigando los abusos en Twitter, parte 2

En el anterior post del blog de esta serie, presenté nuestro informe sobre “Un análisis en profundidad de los abusos en Twitter” que analizó las amenazas en el entorno de Twitter y explicó los diversos tipos de tweets maliciosos que hemos visto. En este post, miramos el alcance y la escala de estas amenazas.

Tweets de malware

Los usuarios en los Estados Unidos generalmente hacen clic en los enlaces que van a URL maliciosas de Twitter, ya se trate de tweets «phishing», tweets con URL acortados, o spam tradicional. En una categoría, sin embargo, esto no era el caso. Identificamos un brote viral que fue dirigido a los usuarios en países del Medio Oriente. Usuarios en Arabia Saudita, Egipto y Sudán hacen clic en la mayoría de los enlaces de tweets que condujeron a malware. Estados Unidos fue solo cuarto en este recuento.

«Phishing» en twitter

El Phishing es una amenaza bien conocida para muchos usuarios de Twitter. Después de todo, muchos usuarios se quejan con frecuencia que sus cuentas han sido «hackeadas»; en muchos casos esto podrían ser el resultado de ataques de phishing.

El phishing en twitter utiliza características de Twitter para hacer más eficaz el esquema. Imagina que Alicia ha picado en el primer día. Al día siguiente, Alicia puede enviar un mensaje de «phishing» a su amigo Bob, que se vería como:

@Bob lol esta entrada tuya es genial short_ {dominio malicioso} / 123465

Si Bob hace clic sobre este mensaje, su sesión twitter le dirá que se ha deslogado– y que tiene que entrar otra vez. Si introduce usuario y contraseña, entonces ha picado. Su cuenta entonces envirará mensajes a sus amigos y así sucesivamente.

Este esquema de «phishing» fue particularmente eficaz para evitar la detección por los investigadores de seguridad. Algunas características que son utilizadas por este esquema incluyen:

• Uso de acortadores de URL

• Uso de cadenas de infección complejas, similares a las utilizados para explotar los kits

• Enlaces enviados a usuarios a través de tweets de cuentas comprometidas

Algunas de las principales herramientas utilizadas por los investigadores de seguridad incluyen honeypots, sandboxes y reputación web. Estas técnicas son ineficaces por varias razones, que incluyen:

• Es poco probable que los mensajes lleguen a honeypots puesto que los mensajes de phishing son enviados de un usuario legítimo a otro usuario legítimo

• Este método engaña a los usuarios para dar sus credenciales por los q los sandboxes son ineficaces

• El uso de URL acortadas y cadenas de infección complejas hace el uso de las tecnologías de reputación web menos efectivas

Buscamos en el esquema principal de «phishing» en twitter durante tres meses en 2014 desde el 1 de marzo al 1 de junio. En los días pico, más de 20.000 cuentas se utilizaron para enviar tweets con enlaces a más de 13.000 distintas direcciones URL.

Desde junio, sin embargo, Twitter está al tanto y el volumen de phishing en Twitter se ha reducido significativamente. Casi la mitad de las víctimas de este esquema se encuentra en los Estados Unidos.

 

Spam de búsqueda

En Twitter, existe un gran número de tweets ofreciendo servicios de dudosa naturaleza, muchos de los cuales infringen derechos de autor. Hemos denominado a estos tweets “spam de búsqueda’. Típicamente, estos tweets están en ruso y anuncian películas, juegos hackeados y software gratis. Los ataques a través de los medios sociales están adaptados con frecuencia a audiencias específicas. Por lo tanto es sorprendente comprobar cuánto spam en ruso es accesible desde fuera de Rusia.

Como estos tweets de spam publicitan bienes ilegales, puede ser que la reputación del underground ruso dé credibilidad a estos anuncios a los ojos de los lectores de fuera de Rusia

 

Algunos de estos ataques son detectados más fácilmente por Twitter y lo más probable que resulte en cuentas suspendidas. Se identificaron 17 grupos distintos que han participado en campañas de spam durante el período de estudio. Twitter fue capaz de suspender casi 34.000 cuentas de estos grupos, algunas de ellos perder más del 90% de las cuentas bajo su control.

Tenemos otros hallazgos listados en el documento, pero solo estos deberían ser suficientes para mostrar que existen Tweets maliciosos en Twitter. Sin embargo, cualquier red social puede ser atacada por los ciberdelincuentes y tener que lidiar con contenido malicioso en su site. En la tercera parte de esta serie de blog, veremos qué se puede hacer para reducir estas amenazas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.