Twitter: растущее поле для безопасности

В Июнь, мир наблюдал, как твиты с улиц Тегерана заливали Twitter. Частые пользователи Twitter - и люди, которые даже не слышали о сервисе микроблогов, внезапно и одновременно стали свидетелями своего потенциала.

В то же время антивирусные поставщики предупреждали о новых фишинг-атаках, которые распространялись через Twitter. Используя учетные записи Twitter, фишеры будут следить за пользователями, а затем заражать их по ссылке на страницу поддельного профиля, загруженную вредоносным ПО. Как и мгновенные сообщения, MySpace и Facebook до этого, Twitter достиг совершеннолетия.

После трех лет относительно спокойного развития и роста, метеоритный рост сервиса в 2009 году был грубым. Помимо проблем с масштабированием из-за притока новых пользователей, в январе Twitter-взлом скомпрометировал аккаунты 33 высокопоставленных пользователей, в том числе президента Барака Обамы, анкера CNN Рика Санчеса и артиста Бритни Спирс.

[далее] для удаления вредоносных программ с вашего ПК с Windows]

В апреле червь Twitter, известный как «Mikeyy» или «StalkDaily», поднял голову. Подобно червю Samy 2005 года на MySpace, червь Mikeyy был автором 17-летнего ребенка, который воспользовался причудой кода, чтобы получить известность для своего веб-сайта StalkDaily.com. Twitter закрыл его - плюс несколько последующих вирусов («Как удалить нового червя Mikeyy!») - довольно быстро. После атак с червями, соучредитель Biz Stone написал в блоге компании: «Twitter очень серьезно относится к безопасности, и мы будем следить за всеми фронтами».

Укороченные URL-адреса Опасности

Параллельно с ростом Twitter происходит расширение услуг по сокращению URL-адресов. Приведение ваших мыслей в 140 символов требует практики; включая полные URL-адреса, практически невозможно. Обычно URL-адреса должны быть усечены через службы, такие как Bit.ly и TinyURL.com, которые также маскируют истинный целевой URL-адрес и могут представлять свои проблемы безопасности в результате.

Первые признаки проблемы с сокращенным URL-адресом возникли с пару червей Twitter, которые обещали помочь пользователям удалить червя Mikeyy. В июне волна скрытых отравленных URL охватила Twitter, используя ссылки Bit.ly на домены low.cc и myworlds.mp, где пользователям было предложено загрузить файл с именем free-stream-player-v_125.exe для просмотра видео. Файл содержит вредоносное ПО. Bit.ly и TinyURL реагировали на сообщения о злоупотреблениях; Bit.ly, для одного, теперь блокирует те домены low.cc и myworlds.mp.

По крайней мере один продукт безопасности, ZoneAlarm, блокирует доступ к TinyURL.com по умолчанию, перечисляя его как потенциально вредоносный сайт (вы можете разблокировать Это). У вас есть и другие способы защитить себя. TinyURL имеет функцию предварительного просмотра, а Firefox имеет предварительный надстройку Bit.ly. Некоторые приложения Twitter, такие как TweetDeck и Tweetie, также просматривают URL-адрес до того, как вы нажмете.

Исследователь безопасности Авив Рафф назначил в июле 2009 года «Месяцем ошибок в Twitter», в ходе которого исследователи каждый день раскрывают новую уязвимость Twitter. Ссылаясь на предыдущие усилия, ориентированные на браузеры и уязвимости Apple Mac OS, Рафф говорит, что его цель состоит не в том, чтобы разрывать Twitter, а в том, чтобы улучшить его и устранить все недостатки социальных сетей: «Я надеюсь, что Twitter и другие поставщики API Web 2.0 будут тесно сотрудничать со своими API для разработки более безопасных продуктов ». Первая раскрытая щебетать Twitter касается ошибок межсайтового скриптинга в Bit.ly. В течение нескольких часов после раскрытия Бит.ли исправил их.

Следуй за мной, пожалуйста

Частая цель Твиттера - построить аудиторию; некоторые люди оценивают свой профиль успешно, если у него сотни или даже тысячи последователей. Сайт под названием TwitterCut рекламировал, что он значительно увеличит вашу базу последователей - если вы дали ему свое имя пользователя и пароль. Большинство поставщиков безопасности считали, что это мошенничество с оплатой за клики.

Люди, которые попали на афера, увидели, что их учетные записи в Twitter позже использовались в фишинговой атаке «Лучший видео», в которой каждый, кто посетил ссылку в твите, загрузил вредоносный PDF, который затем попытался установить поддельный продукт безопасности, если на ПК не было последнего обновления для системы безопасности Adobe.

Gone Phishing

Большинство попыток фишинга Twitter, однако, более просты. Twitter регулярно уведомляет пользователей последних подписчиков по электронной почте, часто со ссылкой на профиль последователя. Недавние фишинг-атаки подделали эту электронную почту и содержали ссылку на страницу входа в фиктивный Twitter.

Еще одна разновидность фишингового мошенника отправила чириканье: «Эй, просмотрите этот забавный блог о вас». Нажав на URL, жертва попала на поддельную страницу (на twitter.access-logins.com/login/). Независимо от того, насколько хорошо сайт выглядит, изучите URL-адрес и дважды подумайте о вводе вашей информации, особенно если вы уже вошли в Twitter.

Плохие парни попробовали более тонкую тактику, например, имя игра. Согласно игре, чтобы создать имя, которое вы будете использовать во время карьеры вашего взрослого кино, вы берете имя своего первого питомца и сочетаете его с улицей, на которой вы выросли, девичью фамилией вашей матери или моделью вашего автомобиля, Признать эти вещи? Это общие вопросы безопасности. Подчеркнув ваши ответы, вы можете отдать доступ к своей учетной записи Twitter или к вашему банковскому счету.

Некоторые из новых правил безопасности использования Twitter - это просто здравый смысл. Так же, как вы не оставите телефонное сообщение о том, что вы уезжаете из города, не читай свои планы на отпуск. И, пожалуйста, не делитесь своим местоположением, если вы являетесь конгрессменом США, отправляющимся в конфиденциальную поездку за границу. Просто спросите представителя Pete Hoekstra (R-MI), который написал в твиттере в начале этого года: «Просто приземлился в Багдаде. Я считаю, что это может быть первый раз, когда у меня была служба BlackBerry в Ираке».