Twitter: A Growing Security Minefield

Pada masa yang sama, vendor antivirus memberi amaran serangan phishing baru yang tersebar melalui Twitter. Menggunakan akaun Twitter, peminat akan mengikuti pengguna dan kemudian menjangkiti mereka melalui pautan ke halaman profil palsu yang sarat dengan perisian hasad. Seperti mesej segera, MySpace, dan Facebook sebelum ini, Twitter telah berumur.

Selepas tiga tahun perkembangan dan pertumbuhan yang relatif tenang, peningkatan meteorik pada tahun 2009 telah menjadi kasar. Selain daripada isu-isu peruncitan disebabkan oleh kemasukan pengguna baru, pada bulan Januari, sebuah hack Twitter telah merosot akaun 33 pengguna berprofil tinggi, termasuk Presiden Barack Obama, jangkar CNN Rick Sanchez, dan penghibur Britney Spears.

[Bacaan lanjut: Bagaimana untuk mengalih keluar perisian hasad dari PC Windows Anda]

Pada bulan April, cacing Twitter yang dikenali sebagai "Mikeyy" atau "StalkDaily" membina kepalanya. Seperti cacing Samy 2005 di MySpace, worm Mikeyy telah ditulis oleh seorang lelaki berumur 17 tahun yang mengambil kesempatan daripada sebuah kodok yang menjadi terkenal di laman webnya, StalkDaily.com. Twitter menutupnya - tambah beberapa virus susulan ("Bagaimana untuk membuang cacing Mikeyy baru!") - dengan cepat. Berikutan serangan cacing, pengasas Biz Stone menulis di blog syarikat itu, "Twitter mengambil keselamatan sangat serius dan kami akan menindaklanjuti semua peringkat."

Bahaya Shortened URL

Selari dengan pertumbuhan Twitter adalah pengembangan perkhidmatan memendekkan URL. Memasukkan pemikiran anda kepada 140 aksara mengambil amalan; termasuk URL penuh hampir mustahil. Biasanya URL harus dipotong melalui perkhidmatan seperti Bit.ly dan TinyURL.com, yang juga menutup URL destinasi yang benar dan boleh membuktikan masalah keselamatan mereka sendiri.

Tanda-tanda pertama masalah URL yang dipendekkan datang dengan sepasang cacing Twitter yang berjanji untuk membantu pengguna mengeluarkan worm Mikeyy. Pada bulan Jun, gelombang URL beracun tersembunyi melanda Twitter, menggunakan pautan Bit.ly ke domain low.cc dan myworlds.mp di mana pengguna diminta untuk memuat turun fail yang dinamakan free-stream-player-v_125.exe untuk melihat video. Fail yang dipegang perisian hasad. Bit.ly dan TinyURL telah responsif terhadap laporan penyalahgunaan; Sekurang-kurangnya satu produk keselamatan, ZoneAlarm, menyekat akses kepada TinyURL.com secara lalai, menyenaraikannya sebagai tapak yang berpotensi berniat jahat (anda boleh menyahsekat ia). Anda mempunyai cara lain untuk melindungi diri anda juga. TinyURL mempunyai ciri pratonton, dan Firefox mempunyai penambahan pratonton Bit.ly. Beberapa aplikasi Twitter, seperti TweetDeck dan Tweetie, juga pratonton URL sebelum anda mengklik.

Penyelidik keselamatan Aviv Raff ditunjuk Julai 2009 sebagai "A Month of Twitter Bugs," di mana penyelidik harus mendedahkan kelemahan Twitter baru setiap hari. Memetik usaha terdahulu yang difokuskan pada pelayar dan kelemahan Apple Mac OS, Raff mengatakan matlamatnya bukan untuk memecah Twitter tetapi untuk memperbaikinya dan untuk menangani semua kelemahan rangkaian sosial: "Saya berharap Twitter dan penyedia API Web 2.0 yang lain akan bekerja rapat dengan mereka Pengguna API untuk membangunkan produk yang lebih selamat. " Yang pertama didedahkan Twitter bug berkenaan cacat skrip tapak silang dalam Bit.ly. Dalam beberapa jam selepas pendedahan, Bit.ly memperbetulkannya.

Follow Me, Please

Matlamat kerap Twitterers adalah untuk membina penonton; sesetengah orang menilai profil mereka berjaya jika ia mempunyai ratusan atau bahkan ribuan pengikut. Sebuah laman web yang dipanggil TwitterCut mengiklankan bahawa ia secara dramatik akan meningkatkan asas pengikut anda - jika anda memberikan nama pengguna dan kata laluan anda. Kebanyakan penjual keselamatan menyifatkannya sebagai penipuan bayar per klik.

Orang yang jatuh untuk penipuan itu melihat akaun Twitter mereka kemudiannya digunakan dalam serangan "Video Terbaik" serangan phishing, di mana sesiapa yang melawat pautan dalam tweet melelong memuat turun sebuah PDF berniat jahat yang kemudiannya cuba memasang produk keselamatan palsu jika PC tidak mempunyai kemas kini keselamatan Adobe terkini.

Pergi ke Phishing

Kebanyakan percubaan phishing Twitter, bagaimanapun, lebih mudah. Twitter secara rutin memberitahu pengguna pengikut baru-baru ini melalui e-mel, sering dengan pautan ke profil pengikutnya. Serangan phishing terkini merosakkan e-mel dan mengadakan pautan ke laman log Twitter yang salah.

Satu lagi variasi penipuan phishing menghantar bacaan tweet, "Hei, lihat blog lucu tentang awak." Mengklik URL membawa mangsa ke halaman palsu (di twitter.access-logins.com/login/). Tidak kira betapa baiknya laman web tersebut, semak URL, dan berfikir dua kali tentang memasukkan maklumat anda - terutamanya jika anda sudah log masuk ke Twitter.

Orang jahat telah mencuba taktik yang lebih halus, juga, seperti porno- permainan nama. Menurut permainan, untuk mencipta nama yang akan anda gunakan semasa kerjaya filem dewasa anda, anda mengambil nama haiwan kesayangan yang pertama dan menggabungkannya dengan jalan yang dibesarkan pada anda, nama ibu ibu anda, atau model kereta anda. Kenali perkara itu? Mereka soalan keselamatan biasa. Dengan tweeting jawapan anda, anda boleh memberikan akses ke akaun Twitter anda - atau ke akaun bank anda.

Beberapa peraturan keselamatan yang muncul untuk menggunakan Twitter adalah perkara biasa. Sama seperti anda tidak akan meninggalkan mesej telefon yang mengatakan anda akan keluar dari bandar, jangan tweet rancangan percutian anda. Dan sila jangan berkongsi lokasi anda jika anda seorang kongres A.S. mengadakan perjalanan luar negeri sulit. Hanya meminta Wakil Pete Hoekstra (R-MI), yang menulis tweet awal tahun ini: "Hanya mendarat di Baghdad, saya percaya ia mungkin pertama kali saya mempunyai perkhidmatan [BlackBerry] di Iraq."