WHBC-GR: Παραβιασμένοι λογαριασμοί στο Twitter τιτιβίζουν από μόνοι τους

Τρίτη 6 Σεπτεμβρίου 2011

Παραβιασμένοι λογαριασμοί στο Twitter τιτιβίζουν από μόνοι τους


Το Σάββατο 3 Σεπτεμβρίου, η ομάδα ασφάλειας του Twitter ειδοποίησε ότι πληθαίνουν οι αναφορές από χρήστες που δηλώνουν ότι ο λογαριασμός τους στέλνει δημόσια και ιδιωτικά μηνύματα εν αγνοία τους.
Η υπηρεσία τονίζει ότι πρόκειται για απόπειρα ψαρέματος στοιχείων, καθώς οι χρήστες, όπως φαίνεται, ξεγελάστηκαν και έδωσαν τους κωδικούς εισόδου στο Twitter....

... με αφορμή προσωπικό μήνυμα που, θεωρητικά, στάλθηκε από φίλο.
Έτσι, η επίθεση συνεχίζεται από ακόλουθο σε ακόλουθο.

Η μέθοδος δεν είναι νέα: οι χρήστες λαμβάνουν ένα προσωπικό μήνυμα (DM, direct message) από κάποιον που έχουν επιλέξει να ακολουθήσουν (θεωρητικά «φίλο») και ως εκ τούτου, εμπιστεύονται.
Το μήνυμα συνήθως αφορά σε ωραίες προσωπικές φωτογραφίες ή κάτι άλλο εντυπωσιακό και παραπέμπει σε μια ιστοσελίδα, την διεύθυνση της οποίας δεν μπορεί κανείς εύκολα να διακρίνει γιατί συνήθως είναι ένα συντετμημένο URL.

Κάνοντας κλικ στο URL, ο χρήστης μοιάζει να οδηγείται στη σελίδα του twitter από τον browser και καλείται να εισάγει τα στοιχεία εισόδου του στην υπηρεσία.
Πρόκειται όμως για μια πλαστή ιστοσελίδα, σκοπός της οποίας είναι να συλλέξει login και password.

Η υπηρεσία συνιστά σε όσους έχουν ενδεχομένως πέσει θύματα της απάτης να αλλάξουν password (από το http://twitter.com και μετά την είσοδό σας στην υπηρεσία, επιλέγετε Setting και Change Password).

Εκτός όμως από την αλλαγή κωδικού εισόδου στην υπηρεσία, προτείνεται στους χρήστες να αποσύρουν τις άδειες που έχουν παραχωρήσει σε διάφορες εφαρμογές (για παράδειγμα, σε διαφορετικές υλοποιήσεις για τη διαχείριση των tweet, για το μοίρασμα φωτογραφιών και βίντεο, σε app για το smartphone, για την απόδοση γεωγραφικών συντεταγμένων στα μηνύματά μας κ.ά.), γεγονός που προκαλεί αφενός την παράλυσή της και τελικά, απαιτεί την εισαγωγή του κωδικού εκ νέου σε αυτές για να ανακάμψουν.

Πάντως, η δημοσίευση tweet εν αγνοία του χρήστη, δεν είναι πάντα αποτέλεσμα χάκινγκ: Κάποιες εφαρμογές στις οποίες ο χρήστης έχει παραχωρήσει δικαιώματα στο λογαριασμό του στο twitter -και το κάνουμε συχνά για να δοκιμάσουμε υπηρεσίες- μπορεί να μην λειτουργούν όπως περιγράφεται.
Πριν κάνει λοιπόν κανείς αλλαγή κωδικού, θα μπορούσε να δοκιμάσει να αποσύρει την άδεια που έχει παραχωρήσει σε κάθε app, ώστε τελικά, να διαπιστώσει ποια από όλες ευθύνεται.

Όσοι συνεχίζουν να βλέπουν τον λογαριασμό τους να «τιτιβίζει» μόνος του, καλό θα ήταν να απευθυνθούν στην υπηρεσία τεχνικής υποστήριξης της υπηρεσίας (support). [www.in.gr]

Δεν υπάρχουν σχόλια: