Aplicación para “rastrear” acosadores, nuevo engaño en Twitter

 



El día de hoy se encuentra circulando una supuesta aplicación creada por “Twitter” que es capaz de rastrear o dar al usuario una idea de todas las personas que siguen su perfil. Dicha “aplicación” se llama StalkTrak y algunos de los mensajes por los cuales se estuvo propagando, se muestran en la siguiente imagen.

 



Al momento de hacer clic en el enlace del mensaje, el usuario era redirigido hacia un sitio completamente ajeno a la red social, cuyo nombre de dominio era www.xxx-black-book.com y mostraba un formulario muy parecido a los utilizados por Twitter, en el cual, para poder “autorizar” a la falsa aplicación, se debía ingresar el nombre de usuario o correo electrónico y contraseña de su cuenta.

 

Como parte de nuestra investigación, introducimos datos falsos e hicimos clic en el botón “Authorize app”.

 

 



Al analizar el tráfico generado por el sitio, pudimos determinar que la información es enviada en claro y procesada por un script llamado login.php.

 

 



Posteriormente, la misma “aplicación” abre una página, dentro del mismo dominio, en la cual se muestran los resultados de ésta: los acosadores, los acosados y una combinación de ambos.

 

Los enlaces en la página, son perfiles de reciente creación o perfiles de usuarios legítimos que son escogidos al azar y colocados indiscriminadamente en una de las tres categorías mostradas en la imagen.

 

 



Esta “aplicación” es un intento más para robar información confidencial de los usuarios que hacen uso de esta red social. Es muy importante recordar cuestiones fundamentales que nos ayudarán a mantener seguros nuestros datos:

  • Verificar muy bien el sitio en el que vamos a ingresar nuestros datos, sobre todo cuando éste proviene de un mensaje sospechoso de algún usuario de Twitter. Analizar la URL, en la mayoría de las ocasiones, nos permite indentificar sitios potencialmente maliciosos

  • No utilizar las mismas contraseñas para todos los sitios o servicios que utilizamos

  • Cambiar con frecuencia, los datos de acceso a éstos sitios, generalmente de 3 a 6 meses es un tiempo razonable

  • Si se ha sido víctima de estos engaños, se deberá cambiar inmediatamente la contraseña de la cuenta, además de borrar el mensaje del perfil o home de la cuenta para no contribuir en su propagación y también notificar o alertar a nuestros amigos o seguidores de estas amenazas

Enviado por ialvarado el Vie, 08/12/2011 - 18:54