Una corrida campaña en Twitter trata de atraer a los usuarios a aterrizar en una página de phishing que sólo objetivo es conseguir que las credenciales de los usuarios.
Parece que tanto las cuentas de Twitter o bots comprometidos se utilizan para entregar un mensaje de spam con un enlace Tumblr para los usuarios de Twitter. El enlace, naturalmente, redirige al usuario a una ubicación web de phishing.
Investigadores de informe Malwarebytes que la campaña fue tan activo en los momentos que envió más de 200 mensajes en diez minutos. El ataque se llevó a cabo durante al menos 6 horas.
Los tuits falsos que la empresa de seguridad detectó, considerado un "extraño rumor" sobre la posible víctima, en un post Tumblr.
El momento en que el usuario accede a la URL, recibe un mensaje de que la sesión de Twitter se ha interrumpido y que el problema puede ser resuelto mediante la firma en la cuenta de nuevo.
Un rápido vistazo a la dirección web en la que el mensaje se origina en, muestra que hay una estafa detrás de la petición amistosa aparente, que fue diseñado específicamente para recoger las credenciales de Twitter. Lo que da a la estafa de distancia se encuentra la falta de conexión cifrada.
El usuario experimentado puede reconocer un esquema como el de un guiño, pero la mayoría de los usuarios de computadoras pueden caminar fácilmente en la trampa.
¿Cómo reconocer una estafa de phishing
Como esquemas de phishing se están extendidos por todo el sitio web social,, es bueno saber qué buscar y cómo reconocerlas.
- Tenga cuidado con los enlaces en mensajes de correo electrónico sospechosos
- Preste atención a la mala gramática y ortografía
- Tenga cuidado con los mensajes de amenaza que su cuenta será cancelada si usted no responde al correo electrónico
- Tenga en cuenta que los creadores de estafa a menudo utilizan las estadísticas o gráficos en sus mensajes que parecen estar conectados a sitios web legítimos, pero su única finalidad es redirigir a páginas de estafa
Lo que los expertos en seguridad recomiendan
Los expertos no aconsejan a los usuarios activar la autenticación de dos factores para el servicio. El segundo código de verificación asegura que el propietario real de la cuenta es la persona que se registra en. Este código se puede recibir como un mensaje de texto en el teléfono móvil del usuario. De esta manera el riesgo de que otra persona utilice el nombre de usuario y la contraseña se elimina.
