Uma corrida campanha no Twitter tenta usuários atrair para pouso em uma página de phishing que só objetivo é obter as credenciais dos usuários.
Parece que quer Twitter comprometida contas ou bots são usados para entregar uma mensagem de spam com um link Tumblr para usuários do Twitter. A ligação, naturalmente, redireciona o usuário para um local web de phishing.
Pesquisadores do relatório Malwarebytes que a campanha foi tão ativa em momentos que enviou mais de 200 mensagens em dez minutos. O ataque foi realizado durante pelo menos 6 horas.
Os tweets falsos que a empresa de segurança detectadas, considerado um “estranho rumor” sobre a vítima em potencial, em um post Tumblr.
No momento em que o usuário acessa o URL, ele recebe uma mensagem de que a sessão Twitter foi interrompida e que o problema pode ser resolvido por assinatura na conta novamente.
Um rápido olhar para o endereço web onde a mensagem se origina de, mostra que há uma farsa por trás do pedido amigável aparente, que foi especificamente projetado para coletar credenciais do Twitter. O que dá o golpe de distância é a falta de conexão criptografada.
O usuário experiente pode reconhecer um esquema como que num piscar de olhos, mas a maioria dos usuários de computador pode facilmente caminhar para a armadilha.
Como reconhecer um esquema de phishing
Como esquemas de phishing estão sendo amplamente espalhados por todo o site sociais, é bom saber o que procurar e como reconhecê-los.
- Cuidado com links em mensagens de email suspeitas
- Preste atenção à má gramática e ortografia
- Cuidado com as mensagens de ameaça que a sua conta será encerrada se você não responder ao e-mail
- Lembre-se de que os criadores de golpes costumam usar estatísticas ou gráficos em suas mensagens que parecem estar conectados a sites legítimos, mas seu único propósito é redirecioná-lo para páginas de golpes
O que os especialistas em segurança recomendam
Os especialistas aconselham fortemente os usuários a habilitar a autenticação de dois fatores para o serviço. O segundo código de verificação garante que o verdadeiro proprietário da conta é a pessoa que efetua login. Este código pode ser recebido como uma mensagem de texto no telefone celular do usuário. Desta forma, o risco de outra pessoa usar o nome de usuário e a senha é eliminado.
