Twitter: A Growing Security Minefield

بعد ثلاث سنوات من التطور والنمو الهادئين نسبياً ، كان الارتفاع الكبير في الخدمة في عام 2009 قاسيًا. وبصرف النظر عن القضايا المتفاقمة بسبب تدفق المستخدمين الجدد ، في شهر كانون الثاني (يناير) ، قام موقع تويتر بتخريب حسابات 33 من كبار الشخصيات ، بما في ذلك الرئيس باراك أوباما ، ومذيع CNN ريك سانشيز ، والمذيعة بريتني سبيرز

[اقرأ المزيد: How لإزالة برامج ضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

اختصار-URL المخاطر

بالتوازي مع نمو تويتر هو التوسع من خدمات تقصير URL. إن تركيب أفكارك في 140 حرفًا يتطلب الممارسة ؛ بما في ذلك عناوين URL الكاملة يكاد يكون من المستحيل. عادةً ما يتم اقتطاع عناوين URL من خلال خدمات مثل Bit.ly و TinyURL.com ، والتي تخفي أيضًا عنوان URL المقصود الحقيقي ويمكنها تقديم مشكلات الأمان الخاصة بها كنتيجة.

أول علامات مشكلة تقصير عنوان URL جاءت مع زوج من الديدان تويتر التي وعدت لمساعدة المستخدمين على إزالة دودة Mikeyy. في يونيو ، اجتاحت تويتر مجموعة من عناوين URL المسمومة المخفية ، باستخدام ارتباطات Bit.ly إلى نطاقات low.cc و myworlds.mp حيث طُلب من المستخدمين تنزيل ملف يسمى free-stream-player-v_125.exe لعرض الفيديو. الملف يحمل البرمجيات الخبيثة. Bit.ly و TinyURL تم الاستجابة لتقارير سوء الاستخدام ؛ Bit.ly ، لواحد ، يقوم الآن بحظر هذه النطاقات low.cc و myworlds.mp.

منتج أمان واحد على الأقل ، ZoneAlarm ، يمنع الوصول إلى TinyURL.com بشكل افتراضي ، ويسرد الموقع على أنه موقع ضار محتمل (يمكنك إلغاء الحظر ذلك). لديك طرق أخرى لحماية نفسك أيضًا. يحتوي TinyURL على ميزة معاينة ، ويحتوي Firefox على إضافة معاينة Bit.ly. بعض تطبيقات تويتر ، مثل TweetDeck و Tweetie ، تقوم أيضًا بمعاينة عنوان URL قبل النقر.

الباحث في شؤون الأمن أفيف راف حدد يوليو 2009 كـ "شهر من تويتر" ، حيث سيقوم الباحثون بالكشف عن نقطة ضعف جديدة على تويتر كل يوم. نقلاً عن الجهود السابقة التي ركزت على المتصفحات وعلى نقاط الضعف في نظام التشغيل Mac OS ، يقول راف إن هدفه ليس كسر تويتر بل تحسينه ومعالجة كل عيوب الشبكات الاجتماعية: "آمل أن يعمل تويتر ومقدمو Web 2.0 API الآخرين بشكل وثيق مع عملاء واجهة برمجة التطبيقات لتطوير منتجات أكثر أمانًا ". أول خطأ تم الكشف عنه على تويتر كان يعيب البرامج النصية عبر المواقع في Bit.ly. في غضون ساعات من الكشف ، قام Bit.ly بتصحيحها.

Follow Me، Please

الهدف المتكرر من Twitter هو بناء جمهور؛ يقيّم بعض الأشخاص أن ملفهم الشخصي ناجح إذا كان لديه المئات أو حتى الآلاف من المتابعين. أعلن موقع يسمى TwitterCut أنه سيزيد بشكل كبير من قاعدة متابعيك - إذا أعطيته اسم المستخدم وكلمة المرور. اعتبر معظم موفري خدمات الأمن أنها عملية احتيال بالنقرة.

الأشخاص الذين وقعوا في الخداع رأوا أن حساباتهم على Twitter قد استخدمت لاحقًا في هجوم التصيد "أفضل فيديو" ، والذي انتهى به أي شخص زار رابطًا في التغريدة ملف PDF ضار حاول بعد ذلك تثبيت منتج أمان مزيف إذا كان جهاز الكمبيوتر يفتقر إلى آخر تحديث أمان من Adobe.

Grey Phishing

معظم محاولات الخداع على Twitter ، تكون أكثر وضوحًا. يقوم تويتر بشكل روتيني بإعلام مستخدمي المتابعين الجدد عن طريق البريد الإلكتروني ، غالبًا مع رابط إلى ملف تعريف المتصل. أحدثت هجمات التصيّد الأخيرة انتحالًا بالبريد الإلكتروني وعقدت رابطًا إلى صفحة تسجيل دخول مزيلة من موقع تويتر.

أرسل تنويع آخر من خداع التصيد رسالة نصها: "مرحبًا ، اطلع على هذه المدونة المضحكة عنك". النقر على عنوان URL أخذ الضحية إلى صفحة مزورة (في twitter.access-logins.com/login/). بغض النظر عن مدى جودة مظهر الموقع ، وفحص عنوان URL ، والتفكير مرتين في إدخال معلوماتك - خاصة إذا كنت قد قمت بالفعل بتسجيل الدخول إلى Twitter.

لقد جرب الأشرار أساليب أكثر دقة ، مثل لعبة الاسم. وفقا للعبة ، لإنشاء الاسم الذي ستستخدمه خلال مسيرتك في أفلام البالغين ، تأخذ اسم حيوانك الأليف الأول وتجمعه مع الشارع الذي نشأت عليه ، أو اسم أمك قبل الزواج ، أو طراز سيارتك. تعترف بهذه الأشياء؟ إنها أسئلة أمنية شائعة. من خلال تغريدة إجاباتك ، يمكنك التخلي عن الوصول إلى حساب Twitter الخاص بك - أو إلى حسابك البنكي.

بعض القواعد الأمنية الناشئة لاستخدام تويتر هي مجرد حس منطقي. مثلما لا تترك رسالة هاتفية تقول أنك ستكون خارج المدينة ، لا تغرد خطط العطلة الخاصة بك. ويرجى عدم مشاركة موقعك إذا كنت عضوًا في الكونغرس الأمريكي في رحلة سرية في الخارج. فقط اسأل الممثل بيت هاكسترا (R-MI) ، الذي قام بالتغريد في وقت سابق من هذا العام: "لقد هبطت للتو في بغداد. أعتقد أنها قد تكون [أول] خدمة [بلاكبيري] في العراق."