Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Twitterowa kampania phishingowa szerzy się poprzez wiadomości bezpośrednie

David Jacoby
Kaspersky Lab Expert
Dodany 17 października 2012, 11:30 CEST
Tagi:

Miałem wrażenie, że ostatnio ilość ataków phishingowych, przeprowadzanych za pomocą mediów społecznościowych, nie była tak duża, jak w przeszłości. Ale gdy tylko ostatnio zalogowałem się na Twitterze, otrzymałem dwie bezpośrednie wiadomości o bardzo podobnej treści.

Dwa dni temu otrzymałem pierwszą podejrzaną wiadomość – lecz kiedy próbowałem zweryfikować, czy był to odnośnik rozprzestrzeniający szkodliwe oprogramowanie, czy może strona phishingowa, adres URL był już nieaktywny. Teraz, gdy dostałem kolejną wiadomość, zabrałem się bezzwłocznie za analizę treści i mogę potwierdzić, że w momencie pisania tego tekstu strona phishingowa, do której kieruje wiadomość, jest nadal aktywna.

Obie wiadomości, które otrzymałem, miały mniej więcej tę samą strukturę – różnica polegała na zastosowanym narzędziu do skracania adresów URL (bit.ly i y.ahoo.it) i jednym zmienionym wyrazie:

"hey, someone is spreading nasty rumours about you URL"

"hey, someone is spreading terrible rumours about you URL"

Co się dzieje po kliknięciu adresu URL w wiadomości? Następuje przekierowanie na stronę http://twi[***]er.com/, na której atakujący utworzył fałszywą stronę logowania do Twittera, i jeśli wprowadzicie na niej swoje informacje logowania, z pewnością znajdą się one w niepowołanych rękach. Skradzione dane zostaną najprawdopodobniej wykorzystane do poszukiwania większej liczby ofiar oraz, być może, do przejęcia kont oszukanego użytkownika w innych mediach społecznościowych.

Po wprowadzeniu danych logowania, ofiara jest przekierowywana do witryny internetowej zwracającej fałszywą stronę błędu "404". Po 2 sekundach następuje kolejne przekierowanie, tym razem do prawdziwej strony logowania Twittera.

W drugiej wiadomości, jaką otrzymałem, skrócony adres URL przekierowywał do domeny, bardzo podobnej do tej wykorzystywanej w nowej kampanii phishingowej. W poprzedniej wiadomości użyto domeny http://tviwtter.com/. Oznacza to, że za obiema kampaniami stoją ci sami ludzie.

Moi koledzy z Kaspersky Lab mają także przypuszczenia, że fala ataków phishingowych uderza w tej chwili w użytkowników Facebooka, jednak trudno powiedzieć, czy obie kampanie są ze sobą powiązane. Jak to wygląda na Facebooku widać na ilustracji poniżej:

W tej chwili zajmujemy się gromadzeniem adresów URL, które wykorzystywane są w opisywanej fali phishingu. Jeżeli natraficie na jakieś podejrzane adresy URL, nie wahajcie się dać nam znać. Możecie skontaktować się ze mną na Twitterze przez tag @JacobyDavid.

Pamiętajcie również, aby zachować ostrożność podczas wprowadzania swoich danych logowania na jakiejkolwiek stronie internetowej!