ट्विटर को वर्म-फ़िशिंग अटैक द्वारा फिर से लक्षित किया जाता है

ट्विटर उपयोगकर्ताओं को उनके लॉगिन और पासवर्ड विवरण को उस वेबसाइट पर प्रकट करने के लिए धोखा दिया गया है, जिसने उसके संपर्कों को स्पैम किया था।

अपराधी ट्विटरकूट नामक एक वेबसाइट है। कुछ ट्विटर उपयोगकर्ताओं ने एक संदेश प्राप्त करना शुरू किया जो उनके एक मित्र से दिखाई दिया और ट्विटरकट वेबसाइट पर एक लिंक शामिल किया। संदेश में बताया गया है कि वे लिंक का पालन करके अधिक ट्विटर संपर्क प्राप्त कर सकते हैं।

सुरक्षा विक्रेता विक्रेता एफ-सिक्योर के मुख्य शोध प्रस्ताव मिक्को हाइपोनन ने कहा,

एक बार ट्विटरकट वास्तविक ट्विटर लॉगिन पृष्ठ के समान दिखता था।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

अगर कोई व्यक्ति अपने लॉगिन विवरण में प्रवेश करता है, तो ट्विटरकट उसी पीड़ित के संपर्कों के लिए ट्विटर के माध्यम से एक ही संदेश भेज देगा, कीड़े जैसी विशेषताओं के साथ एक प्रकार का फ़िशिंग हमला। Hypponen ने कहा कि उपयोगकर्ता की मशीन पर कोई दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित नहीं है।

हालांकि ट्विटरकट शायद कई खातों के लिए लॉगिन विवरण रखता है, लेकिन ऐसा नहीं लगता है कि उन खातों का उपयोग अधिक खतरनाक वेबसाइटों के लिंक को स्पैम करने के लिए किया गया है।

ट्विटरकूट की वेबसाइट को उन सेवाओं को सूचित किया गया है जो संभावित रूप से हानिकारक वेबसाइटों को ब्लैकलिस्ट करते हैं, हालांकि यह अभी भी सक्रिय है। ट्विटरकट पर अब एक चेतावनी संदेश में, साइट के ऑपरेटरों ने कहा कि उनका मतलब लोगों को फिश करने का नहीं था।

इसके बजाय, वे कहते हैं कि वे एक तथाकथित ट्विटर ट्रेन बनाने की कोशिश कर रहे थे, जो कि साइट्स जो जल्दी से ट्विटर उपयोगकर्ताओं को देने के लिए अधिकृत हैं बहुत से अनुयायियों। उन्होंने कहा कि उन्होंने अपनी साइट पर $ 50 के लिए लॉगिन स्क्रिप्ट खरीदी है।

"हम ट्विटर खातों को फ़िशिंग नहीं कर रहे थे," संदेश में कहा गया। "हम इस साइट को बंद कर रहे हैं।"

हाइपोनन ने कहा कि ट्विटर स्पैम के संकेतों की तलाश में होना चाहिए, जैसे कि जब एक समान संदेश सैकड़ों बार और उपयोगकर्ताओं की प्रोफाइल में सैकड़ों बार दिखाई देता है जो "रिटविट" नहीं होता है, "या अन्य सामग्री का जानबूझकर दोबारा पोस्ट करना।

ट्विटर यूआरएल (यूनिफ़ॉर्म रिसोर्स लोकेटर) को भी स्क्रीन पर देख सकता है ताकि यह सुनिश्चित किया जा सके कि वे पहले से ही सुरक्षा मुद्दों के लिए ब्लैकलिस्ट नहीं हैं, हाइपोन ने कहा। कई वेब ब्राउज़र के साथ-साथ सर्च इंजन या तो संदिग्ध वेबसाइटों के बारे में चेतावनी देंगे या ब्लॉक करेंगे।

ट्विटर पर पोस्ट किए गए अधिकांश यूआरएल को 140-वर्ण संदेश की लंबाई में फिट करने के लिए TinyURL जैसी सेवाओं का उपयोग करके छोटा कर दिया गया है, जो ट्विटर को लगाता है, अस्पष्ट करता है वास्तविक गंतव्य और उपयोगकर्ताओं को लिंक पर क्लिक करते समय अपने दोस्तों की भरोसेमंदता पर निर्भर करते हैं। सेवा को साल में पहले अन्य कीड़े से मारा गया था।

ट्विटर ने मंगलवार की रात देर से फिशिंग समस्या को स्वीकार किया।