Canal de Telegram

5 jul 2012

Segu-Info » , , » Phishing de Twitter

Phishing de Twitter

5 jul 2012, 1:30:00 p.m.   2 comentarios
  , ,  
Recibimos algunos reportes de casos de phishing en el cual los correos que llegan provienen de cuentas legítimas de Twitter. El mensaje que recibe la posible víctima es de alguien que sigue o de algún seguidor. (los contactos)

Estos correos son generados por un malware en las PC de los dueños de las cuentas Twitter. El malware aprovecha la sesión abierta y envía, silenciosamente, los correos. Esta es la táctica, un malware que queda dormido a la espera que el usuario abra la cuenta web de algún servicio. 

Desde hace varios años se observan estos casos con malware orientado a explotar cuentas de usuarios Hotmail y Yahoo. En este caso, el malware, abusa de cuentas de Twitter usadas en la PC que está infectada.

El correo recibido, como en la primera captura, incluye un enlace malicioso a continuación del mensaje "Hey someone is posting nasty rumors about you..." (Eh! alguien esta publicando rumores desagradables sobre ti). 
El correo que llega viene de una cuenta Twitter pero abusada por un malware.

El enlace del correo es una URL acortada que a su vez encadena con otras URL acortadas de varios servicios conocidos como t.co, bit.ly y tinyurl. En la siguiente captura se ve un trazado de la secuencia de enlaces.
Secuencia de enlaces acortados por servicios conocidos abusados

El destino final del enlace es esta página de phishing en el dominio falso tvvitiler.­com  registrado en China el 11/6/2012 con esa forma engañosa para imitar visualmente al Twitter original. Así se destaca a continuación:
Página falsa de Twitter (actualmente tvvitiler.­com)

La página falsa pretende ser la página de ingreso a Twitter, y si uno cae en el engaño, estará ingresando (regalando) sus credenciales de twitter, que serán informadas a los delincuentes que prepararon este sitio falso.
A continuación se observa en método POST después de ingresar unas credenciales de prueba (inexistentes).

Luego de nuestras denuncias, el sitio falso, el dominio, ya se encuentran fuera de linea. Desde Segu-Info también informamos a Twitter sobre este engaño que afectaba a sus usuarios, y a los acortadores de URL abusados.

Conclusiones y cuidados
Este nuevo caso, de una modalidad ya conocida, pone de manifiesto el éxito que se consigue explotando cuentas reales de correo o de red social y atacando a los "contactos" de la cuenta abusada. Queda claro que tendemos a "bajar la guardia" cuando llega un mensaje de un conocido.

Todo esto nos indica que debemos cambiar nuestra actitud. Debemos estar muy atentos y ser cuidadosos con todos los mensajes que recibamos por correo, mensajería instantánea, y redes sociales, sin importar quien lo envía.

Preste especial atención a los mensajes inusuales, en distinto idioma, muy cortos, solo con enlace. ¡Y no siga esos enlaces!

Gracias Adolfo por reportar!

Actualización: SpamLoco también observó sobre estos casos como cuenta aquí.

Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. TECIF5 de julio de 2012, 1:55 p.m.

    A TECIF le han pasado ya varios casos de intento de pishing en su cuenta de twitter exactamente de la misma forma.

    ResponderBorrar
  2. Anónimo5 de julio de 2012, 7:30 p.m.

    se sabotea solito tecif

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!