Segurança da Informação

Ξ Deixe um comentário

Anatomia de um link malicioso no Twitter

publicado por Ronaldo Pinheiro de Lima
Essa é para os twitteiros, já viu quando você envia um tweet e recebe como repply ou mention um link estranho de umas pessoas mais estranhas ainda? Pois bem, isso é um tipo de spam no Twitter que assim como nos e-mails pode levar para links maliciosos e devemos ter cuidado.
Vejamos um que recebi:
 
No número 1 vemos um link encurtado que supostamente parece estar oferecendo um brinde gratuito da Starbucks. Quando posicionamos o mouse em cima dele aparece o item 2 que passa a impressão que o link vai nos levar para o site http://www.starbucks.com e ao mesmo tempo no rodapé do navegador aparece o número 3 que é o encurtador de URLs do Twitter que entra em ação toda vez que postamos um link nos tweets.
Com tudo isso parece que o link postado foi encurtado automaticamente pelo t.co do Twitter e que quando clicado nos redirecionará para www.starbucks.com que seria o link verdadeiro “desencurtado”. Isso é o que acontece normalmente quando posicionamos o mouse em cima de um link legítimo mas aqui não funciona assim, vejamos o HTML dele:
<a class=”twitter-timeline-link” rel=”nofollow” target=”_blank”
      title=”http://www.starbucks.com/”
      data-expanded-url=”http://Z7zl.free-starbucks-gift-card.noip.me/0aj01ihae?9lt83tm”
      href=”http://t.co/Yz6fD14g”
      data-ultimate-url=”http://www.starbucks.com/”>
           Z7zl.free-starbucks-gift-card.noip.me/0aj01ihae?9lt8…
</a>
Pelo código dá para ver que o spammer forjou as propriedades title e data-ultimate-url do link para aplicar sua engenharia social. Essas duas propriedades servem apenas para descrição do link, é um jeito que o Twitter criou para exibir para o usuário a URL original que foi encurtada antes mesmo de ser clicada.
A URL que realmente será aberta é a que está em href que é do encurtador que redirecionará para a que está em data-expanded-url.
Ao clicar no link, meu computador (Client host) foi redirecionado para todos esses servidores (Server host):
 
Até chegar ao destino final:
 
Um site pornográfico, mas também poderia ser um site com exploit kits, malwares, etc. Nada de presentes da Starbucks.
Caso queira saber mais sobre spam no Twitter e como reportar um spammer acesse a página oficial dedicada a isso: https://support.twitter.com/articles/64986-how-to-report-spam-on-twitter
Artigo originalmente postado em: www.crimesciberneticos.com

Autor

Possui a certificação SANS GIAC Reverse Engineering Malware (GREM). Nos últimos três anos tem trabalhado (e se divertido) com análise de malware, engenharia reversa e pesquisa de segurança. Atuou como pesquisador de segurança na empresa Qualys no Vulnerability & Malware Research Labs. Colaborou com um paper sobre mecanismos de proteção em malware que foi apresentado inicialmente na conferência BlackHat 2012 USA e posteriormente em conferências ao redor do mundo. Ministrou palestras em eventos diversos no Brasil. Adicionalmente possui 9 anos de experiência profissional em TI e é Bacharel em Informática. Mais info: LinkedIn. Meu site: www.crimesciberneticos.com.

Ronaldo Pinheiro de Lima

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes