트위터 : 성장하는 보안 지뢰밭

동시에 안티 바이러스 공급 업체는 트위터를 통해 확산되는 새로운 피싱 공격에 대한 경고를 받았습니다. 트위터 계정을 사용하여 피싱 공격자는 사용자를 추적 한 다음 악성 코드가있는 가짜 프로필 페이지에 대한 링크를 통해 해당 사용자를 감염시킵니다. 인스턴트 메시징, 마이 스페이스, 페이스 북과 마찬가지로 트위터도 시대에 뒤떨어졌다.

3 년 동안 상대적으로 조용한 개발과 성장을 거친 후, 2009 년 서비스의 급격한 증가는 대충이었다. 1 월에 새로운 사용자 유입으로 인한 확장 문제 외에도, 버락 오바마 대통령, CNN 앵커 릭 산체스, 연예인 브리트니 스피어스 등 33 명의 유명 인사들의 계정이 손상되었습니다.

[추가 읽기: Windows PC에서 악성 코드를 제거하는 방법]

4 월에 "Mikeyy"또는 "StalkDaily"로 알려진 트위터 웜이 머리를 올랐습니다. 마이 스페이스의 2005 년 사미 (Samy) 웜과 마찬가지로 미키 웜은 웹 사이트 StalkDaily.com에 대한 악명을 얻기 위해 코드 특질을 활용 한 17 세의 저자에 의해 작성되었습니다. 트위터가 종료되었습니다 - 몇 가지 후속 바이러스 ("새로운 Mikeyy 웜을 제거하는 방법!") - 상당히 빠르게. 공동 설립자 인 비즈 스톤 (Biz Stone)은 웜 공격에 이어 회사 블로그에 "트위터는 보안을 매우 중요하게 여기고 있으며 모든 전방위에서 철저히 조사 할 것"이라고 말했다.

URL 위험 감소

트위터 성장과 병행하여 확장 URL 단축 서비스. 생각을 140 자 이내로 맞추는 것은 연습이 필요합니다. 전체 URL을 포함하여 거의 불가능합니다. 일반적으로 URL은 Bit.ly 및 TinyURL.com과 같은 서비스를 통해 잘리지 않아야하며 실제 도착 URL을 숨기고 결과적으로 자체 보안 문제를 나타낼 수 있습니다.

단축 URL 문제의 첫 징후는 사용자가 Mikeyy 웜을 제거하는 데 도움이되는 트위터 웜 쌍. 지난 6 월에 발견 된 숨겨진 독극물 URL은 low.cc 및 myworlds.mp 도메인에 대한 Bit.ly 링크를 사용하여 트위터를 스윕했으며, 사용자는 free-stream-player-v_125.exe라는 파일을 다운로드하여 비디오를 볼 수있었습니다. 파일에 악성 코드가 있습니다. Bit.ly와 TinyURL은 학대에 대한보고에 반응했습니다. Bit.ly은 이제 low.cc 및 myworlds.mp 도메인을 차단합니다.

적어도 하나의 보안 제품 ZoneAlarm은 기본적으로 TinyURL.com에 대한 액세스를 차단하여 잠재적으로 악의적 인 사이트로 표시합니다 (차단을 해제 할 수 있습니다 그것). 다른 방법으로 자신을 보호 할 수 있습니다. TinyURL에는 미리보기 기능이 있으며 Firefox에는 Bit.ly 미리보기 부가 기능이 있습니다. 트윗 덱 (TweetDeck)이나 트위티 (Tweetie)와 같은 일부 트위터 앱은 클릭하기 전에 URL을 미리 봅니다.

보안 연구원 인 Aviv Raff는 2009 년 7 월 "트위터 버그의 달"로 지정하여 연구원들이 매일 새로운 트위터 취약점을 공개해야합니다. 래퍼는 브라우저와 애플 맥 OS 취약점에 초점을 맞춘 이전의 노력을 인용하면서 자신의 목표는 트위터를 깨뜨리는 것이 아니라 그것을 개선하고 모든 소셜 네트워킹 결함을 해결하는 것이라고 말했다. "트위터와 다른 웹 2.0 API 제공 업체들이 API 소비자가보다 안전한 제품을 개발할 수있게되었습니다. " 처음 공개 된 트위터 버그는 Bit.ly의 크로스 사이트 스크립팅 결함과 관련이 있습니다. 공개 된 지 몇 시간 만 지나면 Bit.ly가이를 수정했습니다.

따라와

Twitterers의 목표는 청중을 만드는 것입니다. 수백 또는 수천 명의 추종자가 있다면 어떤 사람들은 그들의 프로필을 성공으로 평가합니다. TwitterCut이라는 사이트는 추종자 기반을 크게 늘릴 것이라고 광고했습니다. 대부분의 보안 업체들은 클릭당 지불 (CPC) 사기로 간주했다.

사기에 빠진 사람들은 트위터 계정이 나중에 "최고 비디오"피싱 공격에 사용되는 것을 보았다. PC에 최신 Adobe 보안 업데이트가없는 경우 가짜 보안 제품을 설치하려고 시도한 악성 PDF.

피싱 사라기

그러나 대부분의 트위터 피싱 시도는 더 간단합니다. 트위터는 정기적으로 팔로워의 프로필에 대한 링크가있는 최근 팔로어를 전자 메일로 사용자에게 알립니다. 최근의 피싱 공격은 전자 메일을 스푸핑하여 가짜 트위터 로그온 페이지로 연결됩니다.

피싱 사기의 또 다른 변형으로 "이봐, 너에 관한이 재미있는 블로그를 확인해."라는 트윗 독서가 나왔습니다. URL을 클릭하면 피해자가 가짜 페이지로 이동합니다 (twitter.access-logins.com/login/). 사이트가 아무리 좋아 보이더라도 URL을 확인하고 정보를 입력하는 것에 대해 두 번 생각해보십시오. 특히 트위터에 이미 로그인 한 경우 특히 그렇습니다.

나쁜 사람은 포르노와 같은 더 미묘한 전술도 시도했습니다. 이름 게임. 게임에 따르면, 성인 영화 경력 중에 사용할 이름을 만들려면 첫 번째 애완 동물의 이름을 찍은 다음 자란 거리, 어머니의 처녀 이름 또는 자동차 모델과 결합하십시오. 그런 것들을 알고 있니? 그것들은 일반적인 보안 질문입니다. 답을 트위팅하면 트위터 계정이나 은행 계좌에 대한 액세스 권한을 부여 할 수 있습니다.

트위터 사용에 대한 새로운 보안 규칙 중 일부는 상식입니다. 마을에 없을 것이라고 말하는 전화 메시지를 남기지 않는 것처럼 휴가 계획을 트윗하지 마십시오. 기밀로 해외 여행을가는 미국의 의원 인 경우 귀하의 위치를 ​​공유하지 마십시오. 올해 초 트위터에 오른 피트 호크 스트라 (Pete Hoekstra, R-MI)는 "바그다드에 착륙 한 것만으로도 이라크에서 처음으로 블랙 베리가있을 것"이라고 말했다.