Utilizatorii platformei de social media X (fostul Twitter) au fost adesea lăsați în ceață atunci când dau clic pe un post cu un link extern, dar ajung la un site complet diferit de cel afișat în postare.
Un anunț de pe Twitter observat de un cercetător în securitate arată ca destinație forbes.com, dar, în schimb, te duce la un cont Telegram care presupus promovează escrocherii crypto.
Cercetătorul în securitate Will Dormann a observat o postare pe Twitter cu un link către „forbes.com”.
Postarea de la un cont verificat, când a fost văzută de cercetător, era promovată ca un anunț și pe platformă:
Dând clic pe link într-un browser web, totuși, îi redirecționa pe majoritatea utilizatorilor către un cont Telegram „Crypto cu Harry”, care pare să ofere sfaturi dubioase privind criptomonedele:
Deși previzualizările de link-uri externe ar trebui ideal să arate primul domeniu imediat la care duce un link atunci când dai clic pe el, X face opusul.
Platforma de social media încearcă să determine (deși fără succes) destinația finală către care te duce un URL și arată aceasta ca numele site-ului, într-o postare.
Postarea în discuție, de fapt, inițial îi duce pe utilizatori către un site numit joinchannelnow[.]net care este funcțional din 29 ianuarie de anul acesta (și surpriză, înregistrat pe Namecheap).
Spre deosebire de X, Google Chrome îți arată această destinație (prima) atunci când plasezi cursorul peste link:
Odată ce un utilizator ajunge la joinchannelnow[.]net, serverul său determină dacă o cerere provine de la un browser web sau de la un bot – cum ar fi cel de pe Twitter folosit pentru a genera previzualizări de link-uri.
Face acest lucru verificând antetul HTTP User-Agent dintr-o cerere primită.
Dacă o cerere provine de la un browser web, ceea ce înseamnă cel mai probabil că un om a dat clic pe link, joinchannelnow redirecționează cu bucurie și subtil pe utilizator către contul Telegram menționat anterior.
În caz contrar, când suspectează că un bot sau o unealtă automatizată este folosită pentru a urmări către ce redirecționează în cele din urmă joinchannelnow, redirecționează cererea către un articol legitim de pe forbes.com:
Aceasta este modalitatea în care X poate fi păcălit să arate un nume de site într-o postare (sau mai rău, un anunț) care este complet diferit de locul unde utilizatorii ar ajunge.
Defectul este mai ales problematic pe aplicațiile mobile X deoarece, spre deosebire de un browser web de desktop unde ai putea plasa cursorul peste link pentru a vedea unde te duce, această funcționalitate (adică o bara de stare) lipsește complet pe mobil.
Aceasta înseamnă că utilizatorii vor vedea doar „forbes.com” pe aplicație și, după ce apasă pe previzualizare, vor ajunge imediat la contul Telegram în cauză.
Acest truc inteligent poate fi abuzat de tot felul de adversari, de la escrocii crypto până la cei care promovează malware, instalări de aplicații troianizate, phishing și servicii de spam pentru a se hrăni cu utilizatori neatenți.
Postările de pe Reddit văzute de BleepingComputer sugerează că acest defect a fost cunoscut și exploatat de actorii de amenințare de ceva timp.
Nu este de prisos să spunem că este cel mai bine să nu dai clic pe link-urile externe din postările și anunțurile de pe Twitter fără să plasezi cursorul peste ele și să acorzi o atenție deosebită URL-ului afișat în bara de stare a browserului tău. Pe dispozitivele mobile, este cel mai sigur să nu apeși deloc pe postările cu link-uri.
SEC confirmă că contul X a fost hackuit într-un atac de schimbare a SIM-ului
Departamentul american de apărare a primit 50.000 de rapoarte de vulnerabilitate începând din 2016
Hackerii exploatează o eroare Aiohttp pentru a găsi rețele vulnerabile
Statele Unite încearcă să recupereze 2,3 milioane de dolari de la „măcelarii de porci” de pe Binance
Hackerii exploatează o eroare Windows SmartScreen pentru a distribui malware-ul DarkGate
Leave a Reply