Aparecen técnicas que aprovechan la popularidad de Twitter para engañar a los usuarios y apropiarse de sus cuentas, o crear nuevos perfiles, con el objetivo de incrementar la cadena de ataques que apuntan a guiar al usuario hacia sitios fraudulentos o con contenido malicioso, según informa la compañía de seguridad informática ESET.
Twitter es una red social de microblogging, que conecta a los usuarios ofreciendo un servicio por el cual se puede enviar mensajes breves que serán leídos por todos los seguidores del usuario que emite el mensaje. Originalmente, Twitter estaba orientado a que los mensajes respondiesen a la pregunta ¿Qué estás haciendo? Sin embargo, al poco tiempo los usuarios descubrieron múltiples ventajas tanto a nivel laboral como personal y cada vez son más los participantes que hacen de Twitter una de las redes sociales más populares actualmente.
La creciente masividad en el uso de Twitter en poco tiempo, derivó en que usuarios maliciosos orientasen sus ataques a ésta y otras porpulares redes sociales. En el caso de Twitter, a principios de junio aparecieron diversas técnicas basadas en la diseminación ilegítima de mensajes de Ingeniería Social que apuntan a engañar a los usuarios para realizar múltiples acciones maliciosas.
Para más información acerca de esta metodología de ataque se puede visitar el Blog de Laboratorio de ESET Latinoamérica:
http://blogs.eset-la.com/laboratorio/2009/06/09/haciendo-dinero-twitter/
La metodología de envío de mensajes ilegítimos incluye diversas acciones entre las que se destacan:
– La creación de cuentas por usuarios maliciosos que luego agregan contactos al azar para enviarle sus mensajes
– El robo de información personal de perfiles de usuarios para enviar mensajes a sus seguidores haciéndose pasar por el contacto legítmo
– La utilización de vulnerabilidades de la aplicación para poner mensajes ilegítimos en usuarios reales
Con el objetivo de incrementar la red de ataques aprovechando la comunicabilidad de Twitter, los principales mensajes advertidos por el laboratorio de ESET Latinoamérica se destacan por incluir enlaces que redireccionan a los usuarios a sitios web y pueden ser:
– mensajes cuyos enlaces llevan al usuario a sitios web con contenido malicioso
– mensajes spam que derivan en sitios con publicidad e incluso
– mensajes de phishing que incluyen un enlace a un formulario que apuntan a engañar a los usuarios para que completen un formulario y concretar el robo de credenciales personales para que el atacante acceda a su cuenta y realice acciones maliciosas con los contactos de la víctima del ataque.
“Los creadores de malware siempre están buscando las plataformas más utilizadas para realizar todo tipo de ataques, por eso y debido a la masificación mundial de Twitter, era de esperarse que en algún momento fuera foco de usuarios maliciosos”, explicó Cristian Borghello, Technical & Educational Manager de ESET Latinoamérica.
Cómo prevenirse
Al ser un ataque basado en el envío de mensajes ilegítimos es recomendable, ante todo, siempre verificar quién es el contacto que está publicando el contenido con enlace y, en caso de ser un usuario conocido, verificar que sea él quien efectivamente está enviando dicho mensaje.
En el caso de que la cuenta de un contacto haya sido comprometida, muchas veces las publicaciones ilegítimas tienden a engañar a los usuarios a que hagan clic en un enlace atrayendo su atención con mensajes que no suelen corresponder con el modo en que suele comunicarse el contacto cuyo perfil esté siendo utilizado por un usuario malicioso. En este sentido, una buena medida para advertir esto, es preguntarle al contacto, preferentemente por otros medios, si efectivamente publicó dicho mensaje.
Debido a que los mensajes ilegítimos que circulan en Twitter suelen apuntar a sitios falsos en los que se ofrecen servicios o productos fraudulentos o que contienen diversos códigos maliciosos, es fundamental contar con software de seguridad con capacidades de protección proactiva que, como ESET NOD32 Antivirus o la solución unifcada ESET Smart Security, sean capaces de detectar no sólo malware conocido sino también complejas amenazas informáticas desconocidas.
Además, siempre existe la posibilidad de poder denunciar este tipo de casos, una vez que han sido detectados. Debido a que los usuarios que participan en Twitter son quienes conocen su funcionamiento y a los contactos con quienes intercambian información, es importante que conozcan la existencia de estas acciones maliciosas para detectarlas a tiempo y poder frenar un tipo específico de ataque. En este sentido, en el blog de Laboratorio de ESET Latinoamérica se incluyen una serie de consejos para prevenir y detectar estas tendencias, disponible accediendo a: http://blogs.eset-la.com/laboratorio/2009/06/15/denuncia-cuentas-maliciosas-twitter/
“La aparición de técnicas de engaño en redes sociales no es una novedad, ya que el creciente uso de populares aplicaciones de la web 2.0 conlleva a que los atacantes informáticos actualicen sus metodologías para estar a la orden del día con el avance tecnológico”, dijo Sebastián Bortnik, Analista de Seguridad de ESET Latinoamérica.
“Frente a este panorama, una de las primeras barreras de protección surge a través de la información y conocimiento de la existencia de estos ataques ya que un usuario capacitado en las últimas tendencias de seguridad informática podrá prevenir potenciales riesgos y contribuir a disminuir la cadena de infección”, concluyó Bortnik.
Copyright © 1997 – 2009 ESET. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres son marcas registradas de sus respectivas empresas
Acerca de ESET
Fundada en 1992 y con oficinas centrales en San Diego, California, Estados Unidos, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas.
El premiado producto antivirus ESET NOD32, asegura el máximo rendimiento de su red, detección mediante heurística avanzada, y soporte mundial gratuito, además de brindarle a sus clientes el mayor retorno de la inversión (ROI) de la industria como resultado de una mayor productividad, bajo tiempo ocupado, y un uso mínimo de los recursos.
ESET NOD32 ha logrado más premios de Virus Bulletin 100 que ningún otro producto antivirus disponible, detectando todos los virus activos (in-the-wild) sin falsos positivos, en dichas evaluaciones.
El trabajo de ESET con grandes corporaciones como Canon, Dell, Bridgestone y Microsoft le ha permitido entrar en el Fast 50 de Deloitte Technology por tres años consecutivos, además de estar entre las 10 empresas de mayor crecimiento en San Diego, de acuerdo al San Diego FAST 100.
ESET es una compañía privada con oficinas en San Diego (Estados Unidos), Londres (Reino Unido), Praga (República Checa), Bratislava (Eslovaquia) y Buenos Aires (Argentina).
Para más información, visite www.eset-la.com
Aparecen técnicas que aprovechan la popularidad de Twitter para engañar a los usuarios y apropiarse de sus cuentas, o crear nuevos perfiles, con el objetivo de incrementar la cadena de ataques que apuntan a guiar al usuario hacia sitios fraudulentos o con contenido malicioso, según informa la compañía de seguridad informática ESET.
Twitter es una red social de microblogging, que conecta a los usuarios ofreciendo un servicio por el cual se puede enviar mensajes breves que serán leídos por todos los seguidores del usuario que emite el mensaje. Originalmente, Twitter estaba orientado a que los mensajes respondiesen a la pregunta ¿Qué estás haciendo? Sin embargo, al poco tiempo los usuarios descubrieron múltiples ventajas tanto a nivel laboral como personal y cada vez son más los participantes que hacen de Twitter una de las redes sociales más populares actualmente.
La creciente masividad en el uso de Twitter en poco tiempo, derivó en que usuarios maliciosos orientasen sus ataques a ésta y otras porpulares redes sociales. En el caso de Twitter, a principios de junio aparecieron diversas técnicas basadas en la diseminación ilegítima de mensajes de Ingeniería Social que apuntan a engañar a los usuarios para realizar múltiples acciones maliciosas.
Para más información acerca de esta metodología de ataque se puede visitar el Blog de Laboratorio de ESET Latinoamérica:
http://blogs.eset-la.com/laboratorio/2009/06/09/haciendo-dinero-twitter/
La metodología de envío de mensajes ilegítimos incluye diversas acciones entre las que se destacan:
– La creación de cuentas por usuarios maliciosos que luego agregan contactos al azar para enviarle sus mensajes
– El robo de información personal de perfiles de usuarios para enviar mensajes a sus seguidores haciéndose pasar por el contacto legítmo
– La utilización de vulnerabilidades de la aplicación para poner mensajes ilegítimos en usuarios reales
Con el objetivo de incrementar la red de ataques aprovechando la comunicabilidad de Twitter, los principales mensajes advertidos por el laboratorio de ESET Latinoamérica se destacan por incluir enlaces que redireccionan a los usuarios a sitios web y pueden ser:
– mensajes cuyos enlaces llevan al usuario a sitios web con contenido malicioso
– mensajes spam que derivan en sitios con publicidad e incluso
– mensajes de phishing que incluyen un enlace a un formulario que apuntan a engañar a los usuarios para que completen un formulario y concretar el robo de credenciales personales para que el atacante acceda a su cuenta y realice acciones maliciosas con los contactos de la víctima del ataque.
“Los creadores de malware siempre están buscando las plataformas más utilizadas para realizar todo tipo de ataques, por eso y debido a la masificación mundial de Twitter, era de esperarse que en algún momento fuera foco de usuarios maliciosos”, explicó Cristian Borghello, Technical & Educational Manager de ESET Latinoamérica.
Cómo prevenirse
Al ser un ataque basado en el envío de mensajes ilegítimos es recomendable, ante todo, siempre verificar quién es el contacto que está publicando el contenido con enlace y, en caso de ser un usuario conocido, verificar que sea él quien efectivamente está enviando dicho mensaje.
En el caso de que la cuenta de un contacto haya sido comprometida, muchas veces las publicaciones ilegítimas tienden a engañar a los usuarios a que hagan clic en un enlace atrayendo su atención con mensajes que no suelen corresponder con el modo en que suele comunicarse el contacto cuyo perfil esté siendo utilizado por un usuario malicioso. En este sentido, una buena medida para advertir esto, es preguntarle al contacto, preferentemente por otros medios, si efectivamente publicó dicho mensaje.
Debido a que los mensajes ilegítimos que circulan en Twitter suelen apuntar a sitios falsos en los que se ofrecen servicios o productos fraudulentos o que contienen diversos códigos maliciosos, es fundamental contar con software de seguridad con capacidades de protección proactiva que, como ESET NOD32 Antivirus o la solución unifcada ESET Smart Security, sean capaces de detectar no sólo malware conocido sino también complejas amenazas informáticas desconocidas.
Además, siempre existe la posibilidad de poder denunciar este tipo de casos, una vez que han sido detectados. Debido a que los usuarios que participan en Twitter son quienes conocen su funcionamiento y a los contactos con quienes intercambian información, es importante que conozcan la existencia de estas acciones maliciosas para detectarlas a tiempo y poder frenar un tipo específico de ataque. En este sentido, en el blog de Laboratorio de ESET Latinoamérica se incluyen una serie de consejos para prevenir y detectar estas tendencias, disponible accediendo a: http://blogs.eset-la.com/laboratorio/2009/06/15/denuncia-cuentas-maliciosas-twitter/
“La aparición de técnicas de engaño en redes sociales no es una novedad, ya que el creciente uso de populares aplicaciones de la web 2.0 conlleva a que los atacantes informáticos actualicen sus metodologías para estar a la orden del día con el avance tecnológico”, dijo Sebastián Bortnik, Analista de Seguridad de ESET Latinoamérica.
“Frente a este panorama, una de las primeras barreras de protección surge a través de la información y conocimiento de la existencia de estos ataques ya que un usuario capacitado en las últimas tendencias de seguridad informática podrá prevenir potenciales riesgos y contribuir a disminuir la cadena de infección”, concluyó Bortnik.