Phishing en redes sociales. Un caso real en Twitter

Buenas,

Los casos de phishing tradicional, en su mayoría en un claro declive, siguen ofreciendo opciones para los atacantes. El cambio ha sido radical en los últimos tiempos, donde se ha pasado de ataques dirigidos casi en exclusiva a la banca a distancia a otros modelos de intento de robo de credenciales vinculados a otros servicios no financieros.

Dentro de esa tendencia de abrir nuevos nichos, las redes sociales son, aparentemente, objetivos apetecibles. Es el caso de Twitter, un conocido y extendido servicio de microblogging que goza de las simpatías de millones de usuarios. En ausencia de un móvil económico directo, me inclino a pensar que estos ataques quizás persigan generar listas de usuarios y credenciales que podrían ser comunes a otros servicios, como por ejemplo, la banca electrónica, los servicios Web de las Administraciones Públicas y en general cualquier servicio en línea en el que sí exista posibilidad de consumar fraude financiero. Habida cuenta que los usuarios de Twitter comparten mucha información personal en el servicio, realizando un mínimo seguimiento es factible crear perfiles de los mismos, los cuales podrían ser explotados igualmente en eventos de extorsión. No es descartable tampoco la ejecución de otros delitos relacionados con la suplantación de identidad, como por ejemplo, delitos contra el honor de las personas.

El sitio sigue vivo, lo que permite visitarlo para ver el montaje. La dirección es http://twitterblogs.access-logins.com/login/, y si la publico es porque las barras antiphishing principales ya tienen censada la URL como fraudulenta y es previsible su desactivación en breve. No obstante, se recomienda visitar el sitio única y exclusivamente en caso de tener muy claro lo que se está haciendo.

fake twitter

El falso formulario (muy logrado) efectúa una petición POST con los parámetros usuario y clave, y posteriormente, genera una redirección 302 que lleva al usuario al sitio oficial de Twitter. A lo largo de ese proceso, el formulario fraudulento se encargará de enviar las credenciales sustraídas a los atacantes. El usuario que efectúe un intento de acceso en la página falsa sólo observará como se le vuelve a mostrar la página de inicio del servicio, la legítima, un comportamiento que no todo el mundo asociará a un robo de credenciales, sino más bien como un fallo puntual del servicio, o un error en la autenticación.

Los responsables de Twitter han comentan el asunto en el blog corporativo. Recomiendo a todos los usuarios de este servicio su lectura, especialmente a los que no sabéis bien qué es el phishing.

Un saludo,