Twitter: un champ de mines de plus en plus sécurisé

En même temps, les éditeurs d'antivirus avertissaient de nouvelles attaques de phishing qui se propageaient via Twitter. En utilisant des comptes Twitter, les hameçonneurs suivent les utilisateurs et les infectent ensuite via un lien vers une fausse page de profil chargée de logiciels malveillants. Comme la messagerie instantanée, MySpace et Facebook avant elle, Twitter avait atteint sa maturité.

Après trois années de développement et de croissance relativement faibles, l'ascension fulgurante du service en 2009 a été rude. Mis à part les problèmes d'échelle dus à l'afflux de nouveaux utilisateurs, un piratage sur Twitter a compromis en janvier les comptes de 33 utilisateurs de haut niveau, dont le président Barack Obama, l'animateur de CNN Rick Sanchez et l'artiste britannique Britney Spears. pour supprimer les logiciels malveillants de votre PC Windows]

En avril, un ver Twitter connu sous le nom "Mikeyy" ou "StalkDaily" a levé la tête. Semblable au ver Samy de 2005 sur MySpace, le ver Mikeyy a été écrit par un jeune de 17 ans qui a profité d'une anomalie de code pour acquérir une notoriété sur son site Web, StalkDaily.com. Twitter l'a arrêté - plus quelques virus de suivi ("Comment supprimer le nouveau ver Mikeyy!") - assez rapidement. Après les attaques de ver, le cofondateur Biz Stone a écrit sur le blog de l'entreprise: "Twitter prend la sécurité très au sérieux et nous suivrons sur tous les fronts."

Shortened-URL Dangers

Parallèlement à la croissance de Twitter des services de raccourcissement d'URL. Mettre vos pensées en 140 caractères nécessite de la pratique; y compris les URL complètes est presque impossible. En règle générale, les URL doivent être tronquées à l'aide de services tels que Bit.ly et TinyURL.com, qui masquent également l'URL de destination réelle et peuvent donc présenter leurs propres problèmes de sécurité.

Les premiers signes d'un problème d'URL raccourci paire de vers Twitter qui a promis d'aider les utilisateurs à supprimer le ver Mikeyy. En juin, une vague d'URL empoisonnées cachées a balayé Twitter, en utilisant des liens Bit.ly vers les domaines low.cc et myworlds.mp où les utilisateurs ont été invités à télécharger un fichier appelé free-stream-player-v_125.exe pour voir une vidéo. Le fichier contenait des logiciels malveillants. Bit.ly et TinyURL ont réagi aux rapports d'abus; Bit.ly, par exemple, bloque désormais les domaines low.cc et myworlds.mp.

Au moins un produit de sécurité, ZoneAlarm, bloque l'accès à TinyURL.com par défaut, le répertoriant comme un site potentiellement malveillant (vous pouvez le débloquer il). Vous avez aussi d'autres moyens de vous protéger. TinyURL a une fonction de prévisualisation, et Firefox a un add-on d'aperçu Bit.ly. Certaines applications Twitter, telles que TweetDeck et Tweetie, affichent également l'URL avant de cliquer sur

Aviv Raff, chercheur en sécurité, a qualifié Juillet 2009 de «mois de bugs Twitter», au cours duquel les chercheurs doivent dévoiler chaque jour une nouvelle vulnérabilité Twitter. Raff affirme que son objectif n'est pas de briser Twitter, mais de l'améliorer et de corriger toutes les failles des réseaux sociaux: «J'espère que Twitter et les autres fournisseurs d'API Web 2.0 travailleront en étroite collaboration avec leurs clients. Les consommateurs API pour développer des produits plus sécurisés. " Le premier bug Twitter révélé concernait les failles de script intersite dans Bit.ly. Dans les heures qui ont suivi la divulgation, Bit.ly les a corrigées.

Suivez-moi, s'il vous plaît

Un objectif fréquent des Twitterers est de créer une audience; Certaines personnes estiment que leur profil est un succès s'il compte des centaines, voire des milliers d'abonnés. Un site appelé TwitterCut a annoncé qu'il augmenterait considérablement votre base d'abonnés - si vous lui avez donné votre nom d'utilisateur et votre mot de passe.

Les personnes tombées dans l'arnaque ont vu leurs comptes Twitter plus tard utilisés dans l'attaque d'hameçonnage «Meilleure vidéo», dans laquelle tous ceux qui consultaient un lien dans le tweet finissaient par télécharger. un fichier PDF malveillant qui tentait alors d'installer un faux produit de sécurité si le PC ne disposait pas de la dernière mise à jour de sécurité d'Adobe.

Gone Phishing

La plupart des tentatives d'hameçonnage sur Twitter sont toutefois plus simples. Twitter informe régulièrement les utilisateurs des abonnés récents par e-mail, souvent avec un lien vers le profil du suiveur. Des attaques récentes d'hameçonnage ont usurpé cet e-mail et ont maintenu un lien vers une fausse page de connexion Twitter.

Une autre variante de l'arnaque de phishing a envoyé un tweet: "Hé, regarde ce blog drôle sur toi." En cliquant sur l'URL a pris la victime à une fausse page (à twitter.access-logins.com/login/). Quelle que soit la qualité du site, examinez l'URL et réfléchissez à deux fois avant d'entrer vos informations, surtout si vous êtes déjà connecté à Twitter.

Les mauvais types ont aussi essayé des tactiques plus subtiles, comme la pornographie. jeu de nom. Selon le jeu, pour créer le nom que vous utiliserez pendant votre carrière de film pour adultes, vous prenez le nom de votre premier animal de compagnie et le combinez avec la rue dans laquelle vous avez grandi, le nom de jeune fille de votre mère ou le modèle de votre voiture. Reconnaître ces choses? Ce sont des questions de sécurité communes. En twittant vos réponses, vous pouvez donner l'accès à votre compte Twitter - ou à votre compte bancaire.

Certaines des règles de sécurité émergentes pour utiliser Twitter sont simplement du bon sens. Tout comme vous ne laissez pas un message téléphonique indiquant que vous serez en dehors de la ville, ne tweetez pas vos plans de vacances. Et s'il vous plaît ne partagez pas votre emplacement si vous êtes un membre du Congrès des États-Unis lors d'un voyage à l'étranger confidentiel. Il suffit de demander au représentant Pete Hoekstra (R-MI), qui a tweeté plus tôt cette année: "Je viens de débarquer à Bagdad, je crois que c'est la première fois que j'ai eu [BlackBerry] en Irak."