Twitter：セキュリティの深化する地雷

同時に、アンチウィルスベンダーは、Twitterを介して広がっている新しいフィッシング攻撃を警告していました。 Twitterアカウントを使用して、フィッシング詐欺師はユーザーを追跡し、マルウェアを含む偽のプロファイルページへのリンクを介してユーザーに感染させます。インスタント・メッセージング、MySpace、Facebookのように、Twitterは時代を迎えました。

3年間の比較的静かな開発と成長の後、2009年のサービスの急激な増加は荒いです。 1月に、新しいユーザーの流入によるスケーリングの問題を除いて、Twitterのハックはバラク・オバマ大統領、CNNのアンカー・リック・サンチェス、そしてエンターテイナーのブリトニー・スピアーズを含む33人の高プロファイルユーザーのアカウントを傷つけた。あなたのWindows PCからマルウェアを削除する]

4月には、「Mikeyy」または「StalkDaily」と呼ばれるTwitterワームが頭を上げた。 MySpaceの2005年のSamyワームと同様に、Mikeyyワームは、彼のWebサイトStalkDaily.comの名声を得るためにコードの特典を利用した17歳の著者によって執筆されました。 Twitterはそれをシャットダウンしただけでなく、いくつかのフォローアップウイルス（「新しいMikeyyワームを削除する方法！ワームの攻撃後、Biz Stoneは同社のブログに「Twitterはセキュリティを非常に真剣に受け止め、すべての面でフォローアップする」と書いた。

URLの短期的な危険性

Twitterの成長と平行して、 URL短縮サービスのあなたの思考を140文字に収めることは練習になります。完全なURLを含むことはほとんど不可能です。通常、URLはBit.lyやTinyURL.comなどのサービスによって切り捨てられなければなりません。これは本当の目的地URLを隠し、結果としてセキュリティ問題を提示することができます。

短縮URLのトラブルの最初の兆候は、ユーザーがMikeyyワームを削除する手助けを約束したTwitterワームのペア。 6月には、隠されたポイズニングされたURLの波が、Bit.lyのリンクを使ってlow.ccとmyworlds.mpのドメインを使ってTwitterを掃討し、free-stream-player-v_125.exeと呼ばれるファイルをダウンロードするように求められた。ファイルにはマルウェアが含まれていました。 Bit.lyとTinyURLは虐待の報告に反応しました。 Bit.lyは、low.ccとmyworlds.mpドメインをブロックするようになりました。

少なくとも1つのセキュリティ製品ZoneAlarmは、デフォルトでTinyURL.comへのアクセスをブロックし、潜在的に悪意のあるサイトとして表示しますそれ）。他にも自分を守る方法があります。 TinyURLにはプレビュー機能があり、FirefoxにはBit.lyプレビュー機能が追加されています。 TweetDeckやTweetieなどのTwitterアプリケーションも、クリックする前にURLをプレビューします。

セキュリティ研究者のAviv Raff氏は、2009年7月に「Twitterのバグの月」と指定し、研究者は毎日新しいTwitterの脆弱性を公開します。ラフ氏は、ブラウザとアップルのMac OSの脆弱性に焦点を当てた以前の取り組みを挙げて、Twitterを破るのではなく、それを改善し、すべてのソーシャルネットワーキングの欠陥に取り組むことを目標としている、と述べた。 "TwitterなどのWeb 2.0 APIプロバイダが、 APIの消費者はより安全な製品を開発することができます。最初に公開されたTwitterのバグは、Bit.lyのクロスサイトスクリプティングの欠陥に関係していました。

私に従ってください

Twitterersの頻繁な目標は、視聴者を築くことです。数百人または数千人の信者がいれば、その人のプロフィールを成功と評価する人もいます。 TwitterCutと呼ばれるサイトでは、ユーザー名とパスワードを与えた場合、そのフォロワーの基盤が劇的に増加すると広告されていました。ほとんどのセキュリティベンダーは、クリック単価の詐欺と見なしている。

詐欺に陥った人々は、Twitterのアカウントを後で「最高のビデオ」フィッシング攻撃で使用した。ツイートのリンクを訪れた人は、 PCに最新のAdobeセキュリティアップデートがない場合、偽のセキュリティ製品をインストールしようとした悪質なPDF

フィッシング詐欺

しかし、ほとんどのTwitterフィッシング詐欺はより簡単です。 Twitterは定期的に最近のフォロワーを電子メールで通知します。フォロワーのプロファイルへのリンクが頻繁にあります。最近のフィッシング攻撃はその電子メールを偽装し、偽のTwitterログオンページへのリンクを保持しています。

フィッシング詐欺の別のバリエーションは、「おい、このおかしいあなたのブログをチェックしてください。 URLをクリックすると、犠牲者が偽のページに移動しました（twitter.access-logins.com/login/）。

悪意のある人たちは、ポルノのようなより微妙な戦術を試してみましたが、名前ゲーム。ゲームによると、あなたの大人の映画のキャリアの間に使用する名前を作成するには、あなたの最初のペットの名前を取ってあなたが成長した通り、母親の旧姓の名前、またはあなたの車のモデル。それらのことを認識していますか？一般的なセキュリティ上の質問です。あなたの答えをtweetingすることで、あなたのTwitterアカウントやあなたの銀行口座にアクセス権を与えることができます。

Twitterを使うセキュリティルールのいくつかは、単に常識的なものです。町の外に出るとの電話メッセージを残さないのと同じように、あなたの休暇計画をつぶやいてはいけません。海外の秘密の旅行をしているアメリカの議員の場合は、あなたの場所を共有しないでください。今年初めにツイートしたPete Hoekstra（R-MI）議長に「バグダッドに着陸したばかりで、初めてブラックベリーがイラクで奉仕したのかもしれないと信じている」と述べた。