Están circulando en Twitter mensajes privados que son enviados a modo de spam, esta tarde ya recibí 5 que dicen lo siguiente «ROFLMAO i can’t stop laughing at this pic of you [url maliciosa]«:
El mensaje hace referencia a una foto graciosa supuestamente nuestra, al hacer clic se accede a una página de phishing que se hace pasar por la de Twitter. Si la víctima no detecta que está en un sitio falso su contraseña terminará en las manos del atacante:
Luego de ingresar los datos se muestra un mensaje falso de error que simula ser de Twitter Status (status.twitter.com):
Una vez que el atacante tiene la contraseña puede ingresar a la cuenta y seguir propagando el spam, pero en este caso algunos usuarios afirman que no cayeron en la trampa y aún así los mensajes parecen ser enviados desde sus cuentas.
Hay otras dos formas de que esto suceda, el equipo podría estar infectado con algún malware tipo Koobface o alguna aplicación instalada con acceso al perfil es la culpable (conviene revisarlas).
Si por error ingresaste tu contraseña en la página falsa, procura cambiarla cuanto antes. Actualizaré el post cuando tenga más información o descubra lo que sucede.
Actualización 1:
Bajo el dominio falso hay varias páginas de phishing similares que fueron utilizadas en distintos momentos, una de ellas redirecciona hacia un sitio donde hay un video. Por un momento pensé que con eso estarían haciendo algún ataque del tipo drive by para infectar la computadora, pero en las pruebas que hice no se descargó nada extraño, es una página que hace un «Rickrolling» y tiene un javascript para hacer bromas en IE (VT 17/ 44), no tiene relación con estos phishers.
También ingresé la contraseña de una cuenta de pruebas en la página falsa, minutos después se habían enviado automáticamente decenas de mensajes directos, lo bueno es que todos los usuarios que sigo con esa cuenta son bots spam, así que recibieron un poco de su propia medicina:
Las cuentas comprometidas también pueden publicar distintos twitts spam:
Si desde tu cuenta se enviaron mensajes spam, cambia la contraseña lo antes posible y advierte a todos tus seguidores que no hagan clic en los enlaces! si caen en la trampa esto se sigue propagando de forma viral.
El dominio falso (ltwltter) utilizado para este ataque ya está siendo bloqueado por la mayoría de los filtros antiphishing.
Actualización 2: hay más mensajes directos que se están propagando y utilizan nuevos dominios falsos a medida que son bloqueados. El siguiente es un ejemplo de otro de los mensajes que está circulando:
«lmao…omg i am laughing so hard at this pic u i just found http://t.co/ms[eliminado]»
Recuerda que si los mensajes se envían desde tu cuenta, debes cambiar la contraseña y si utilizas la misma para otros servicios, debes cambiarlas todas.
Gracias Jorge.
Alejandro, su sitio siempre está lleno de información buena para estar protegido.
Se me ocurrió hacer un video para ayudar a las personas a mejorar como andar en la web.
Quizá no sea el mejor video. Pero Aquí te lo muestro. (solo para complementar, pues tu info casi siempre trae todo lo necesario).
http://www.youtube.com/watch?v=MqoENmznj8Y