Tuesday, 7. October 2014

Investigando los abusos en Twitter, parte 1



Twitter es un importante canal de comunicación para muchas personas, por lo que no debería sorprendernos que también se haya convertido en un medio explotado por los ciberdelincuentes. Junto con investigadores de la Universidad Deakin, Trend Micro ha publicado un exhaustivo informe titulado “Análisis en profundidad sobre los abusos en Twitter” (An In-Depth Analysis of Abuse on Twitter) donde se ve la escala de esta amenaza.

Para obtener esta información, se han analizado los tweets de acceso público durante un período de dos semanas en 2013. Muchos se descartaron ya que no tenían ningún vínculo. La mayoría de los tweets maliciosos contienen algún tipo de enlace malicioso, por lo que se consideró oportuno centrarse sólo en estos.

Tras recopilar más de 570 millones de tweets en total, se identificó que más de 33 millones (5,8% del total) contenían enlaces a contenido malicioso de algún tipo. Contenido malicioso no significa necesariamente sólo malware, puede suponer también enlaces a anuncios y páginas de phishing afectadas, entre otras amenazas. La recogida de datos se realizó durante un período en que hubo un brote significativo de spam.

En la práctica, hemos identificado varios tipos de abuso en Twitter, incluyendo:


•  Spam
•  Phishing
•  Enlaces a malware
•  Cuentas que son robadas y suspendidas


Hay dos tipos distintos de Spam: “spam tradicional” que utiliza etiquetas de hashtags, es muy obvio, repetitivo y se cierra rápidamente. El sedundo tipo es el que llamamos “spam de búsqueda”. Tweets de spam que se pueden buscar y que son completamente diferentes. Se parecen a esto:

1

1. Tweets de búsqueda

Estos tweets son, en cierto modo, más parecidos a los anuncios clasificados. Por lo general se utilizan para promover copias piratas de artículos como:


•  software crackeado
•  películas gratuitas
•  imitaciones de gadget
•  soluciones de ámbito doméstico


A diferencia de los tweets más “tradicionales”, no hicieron gran uso de hashtags. Hay una fuerte conexión con Europa del Este y estos tweets: muchos están escritos en ruso o alojados en servidores de Rusia o Ucrania.

Esta amenaza es mucho más discreta que otros ataques y se nota: la probabilidad de que Twitter suspenda cuentas donde se realiza este tipo de actividad es más baja que las cuentas donde se participan en otras actividades maliciosas. Todo esto está diseñado para evitar que los usuarios informen de la existencia de estos tweets (y cuentas).

Además, la mitad del tráfico de los sitios web anunciados en estos tweets en realidad no proviene de Rusia. Los usuarios que encuentran estos tweets realmente están interesados ​​en lo que “necesitan”, incluso si necesitan de herramientas de traducción automática para entenderlos.

Las cuentas de Twitter en sí son objetivos valiosos para los cibercriminales. Como resultado, también son comunes varias estafas que tratan de obtener las credenciales de usuario. Por ejemplo, cuentas comprometidas que mencionen a sus amigos en los tweets (o enviar mensajes directos) que piden al usuario hacer clic en una URL (acortada). Este enlace dirige a os usuarios a páginas de phishing donde se piden las credenciales de la cuenta de Twitter del usuario.

Otra forma de obtener acceso a las cuentas de esta popular red social es la estafa del seguidor conocido. Estas estafas atraen a los usuarios con la promesa de tener más seguidores. En su lugar, ofrecen a los atacantes el acceso a las cuentas de Twitter.

En próximos posts, vamos a ver las diferencias regionales en el abuso de Twitter, así como las posibles soluciones a la amenaza.

 

Esta investigación ha estado apoyada por ARC Linkage Project LP120200266

Para más información, visite: http://blog.trendmicro.com/trendlabs-security-intelligence/investigating-twitter-abuse-part-1/