Anatomia de um link malicioso no Twitter

Essa é para os twitteiros, já viu quando você envia um tweet e recebe como repply ou mention um link estranho de umas pessoas mais estranhas ainda? Pois bem, isso é um tipo de spam no Twitter que assim como nos e-mails pode levar para links maliciosos e devemos ter cuidado.

Vejamos um que recebi:


No número 1 vemos um link encurtado que supostamente parece estar oferecendo um brinde gratuito da Starbucks. Quando posicionamos o mouse em cima dele aparece o item 2 que passa a impressão que o link vai nos levar para o site http://www.starbucks.com e ao mesmo tempo no rodapé do navegador aparece o número 3 que é o encurtador de URLs do Twitter que entra em ação toda vez que postamos um link nos tweets.

Com tudo isso parece que o link postado foi encurtado automaticamente pelo t.co do Twitter e que quando clicado nos redirecionará para www.starbucks.com que seria o link verdadeiro “desencurtado”. Isso é o que acontece normalmente quando posicionamos o mouse em cima de um link legítimo mas aqui não funciona assim, vejamos o HTML dele:


<a class=”twitter-timeline-link” rel=”nofollow” target=”_blank”
      title=”http://www.starbucks.com/”
      data-expanded-url=”http://Z7zl.free-starbucks-gift-card.noip.me/0aj01ihae?9lt83tm”
      href=”http://t.co/Yz6fD14g”
      data-ultimate-url=”http://www.starbucks.com/”>
           Z7zl.free-starbucks-gift-card.noip.me/0aj01ihae?9lt8...
</a>

Pelo código dá para ver que o spammer forjou as propriedades title e data-ultimate-url do link para aplicar sua engenharia social. Essas duas propriedades servem apenas para descrição do link, é um jeito que o Twitter criou para exibir para o usuário a URL original que foi encurtada antes mesmo de ser clicada.

A URL que realmente será aberta é a que está em href que é do encurtador que redirecionará para a que está em data-expanded-url.

Ao clicar no link, meu computador (Client host) foi redirecionado para todos esses servidores (Server host):

Até chegar ao destino final:

Um site pornográfico, mas também poderia ser um site com exploit kits, malwares, etc. Nada de presentes da Starbucks.

Caso queira saber mais sobre spam no Twitter e como reportar um spammer acesse a página oficial dedicada a isso: https://support.twitter.com/articles/64986-how-to-report-spam-on-twitter

Abraços!

3 comentários:

  1. Ótima documentação, simples, clara e objetiva.

    ResponderExcluir
  2. Prezado Ronaldo:

    Qual o nome deste software utilizado para visualizar as sessões?

    Grato,
    Mauro

    ResponderExcluir
  3. Olá Mauro,

    Esse é o NetworkMiner Free:

    http://www.netresec.com/?page=NetworkMiner

    Abraço.

    ResponderExcluir

Related Posts Plugin for WordPress, Blogger...