Spam, generalno rečeno, predstavlja jedan od najvećih problema na internetu danas. Gotovo nikada ne dolazi sam već je isprepletan sa drugim vidovima sajber kriminala. Borba protiv spam naloga i aktivnosti na društvenim mrežama mukotrpna je i teška. Društvene mreže pod konstantnim su pritiskom spamera. Security timovi razvijaju razne algoritme i sisteme detekcije ponašanja koje može biti spam kako bi isti na vreme detektovali i time zaštitili kako korisnike, tako i sopstveni biznis.
Kao što to obično biva, u zaobilaženju sistema detekcije, kreativnost prevaranata vrlo često dolazi do izražaja.
U ovom postu predstavićemo jedan interesantan pokušaj zaobilaženja Twitter-ovih alata koji se bore protiv spama.
Ukoliko otvorite Twitter nalog (ručno ili uz pomoć nekog softvera) i odmah zapratite 3000 ljudi koje menšunujete sa linkom ka nekoj phishing stanici najverovatnije nećete moći ništa da učinite jer će vas vrlo brzo detektovati anti-spam sistemi koje koristi ova društvena mreža.
Detaljnu analizu jednog takvog napada opisao sam u postu:
[Analiza] Kako izgleda jedan spam napad na twitter-u?
Kao spameru cilj vam je da što brže dođete do velikog broja ljudi kako biste im isporučili maliciozni sadržaj. Ipak, spam sistem vas sprečava da zapratite mnogo ljudi i da pošaljete mnogo tvitova u kratkom vremenskom periodu. Ili možda ne?
„Tihi“ Spam
Stavimo se sada u položaj spamera i glasno razmišljajmo kao on:
„Na koji način bih mogao da dođem do velikog broja ljudi a da pritom ne dignem veliku prašinu, ne pišem mnogo tvitova jer će me ljudi repotovati čak i ukoliko me sistem ne detektuje“
Evo čega se naš spamer dosetio:
Svaki Twitter korisnik ima opciju da dodaje druge korisnike u liste. Svi korisnici mogu biti dodati u određenu listu, nezavisno od toga da li se međusobno pratimo ili ne.
Kada nas neko od drugih korisnika doda u listu, Twitter će nam poslati notifikaciju.
Upravo hipotetička „ranjivost“ ovog sistema na spam napad korišćena je u situaciji koju opisujem.
Evo kako taj „tihi“ spam izgleda u nekoliko slika:
Slika 1: Korisnik dobija notifikaciju da je dodat u listu
Slika 2: Radoznali korisnik odlazi na stranicu, tj. profil člana, gde ga čeka link preko kojeg će moći da doda novac na svoj PayPal račun potpuno besplatno.
Ovo nam govori da je ovde phishing PayPal naloga verovatno glavni motiv napada.
Slika 3: Ukolioko odemo na samu listu, vidmo da se na istoj nalazi preko 3000 korisnika a da naša drugarica Stejsi ima još 4 identične liste:
Korišćenjem ovakvog pristupa napadač je uspeo da isporuči svoj sadržaj velikom broju korisnika a potencijalno je i izbegao osnovnu spam zaštitu.
Zbog čega je važan ovaj napad?
Ovaj napad, daleko od toga da prestavlja neki posebno napredan napad. Čak bih rekao da je izveden prilično trapavo jer je link kraćen preko Bit.ly servisa koji ga je odmah blokirao i time sprečio dalje širenje malicioznog sadržaja. Kada je pao link sva ostala infrastruktura je postala nepotrebna.
Ipak, izabrao sam da ga opišem jer sa sobom nosi važne pouke za sve ljude koji se na bilo koji način bave online sigurnošću i zaštitom.
Ovde možete videti izraženu kreativnost napadača koji je za spam uspeo da iskoristi opciju koja uopšte ne služi za kontaktiranje sa korisnicima.
Ovakva situacija, „kreativna zloupotreba sistema“, nije nova u svetu informacione bezbednosti. Kao primer navodim nedavno korišćenje WordPress Pingback funkcije za DDoS napade velikog intenziteta. Detalje možete pročitati na linku.
Zbog ovakvih situacija uvek moramo razmišljati svestrano i stalno se upoznavati sa sistemom koji štitimo i njegovim funkcijama. Jedino na taj način moći ćemo pravilno da izvagamo šta je za vas pretnja ili ne i da li neka nova opcija nosi nove rizike i kakvi su oni.
P.S.
24h nakon početka ove akcije sporni nalog je ugašen tako da je administracija Twitter-a ipak reagovala.
Istina vredan paznje pristup spamera ali kao sto je i receno nespretno sproveden iako na slican nacin moze biti osmisljen i daleko opasniji napad spamera odnosno hakera , koji ce iskoristiti lakovernost odnosno radoznalost korisnika drustvenih mreza .