Todos os posts tagados url shortener

Falso antivírus à solta no Twitter

No Sol:

O Twitter foi afectado por uma vaga de links que tentam aliciar os membros do serviço para um falso antivírus. O site já começou a alterar as passwords das contas utilizadas no esquema.O truque está a ser utilizado através de um serviço de URL shortening (serviço utilizado para diminuir o tamanho do nome dos links, para que estes possam caber no limite de 140 caracteres por mensagem do Twitter) da Google, denominado goo.gl.

De acordo com um investigador da Kaspersky, estas mensagens utilizam o serviço da Google para esconder um site fraudulento, alojado na Ucrânia, onde os criminosos atraem as vítimas com uma leitura do disco à procura de vírus.

Esta falsa pesquisa acaba por indicar que o utilizador tem o computador infectado e é aconselhado a instalar um antivírus, que se revela ser um programa malicioso com o nome de Security Shield.

A táctica não é nova e tem aumentado nos últimos tempos, sendo agora o Twitter o veículo utilizado para espalhar a ameaça.

Através do próprio serviço de micro-blogues uma responsável pela segurança do Twitter revela que todos os links que remetem para o site fraudulento estão a ser apagados e as passwords das contas afectadas reiniciadas.

A pescaria virtual e os perigos dos encurtadores de URLs

No blogue do Emerson Wendt:

Como estou tentando manter uma rotina de escrita para o blog, agora voltada aos sábados, achei por bem trazer neste post uma correlação e análise referente aos encurtadores de URLs e o phishing scam.

Sugestão: Podem experimentar o meu novo projeto – ScanPW para obter alguma informação num URL encurtado, mesmo antes de o abrir.

Apache.org comprometido com falha XSS

XSS, URL shortener e uma pitada de engenharia social e temos a receita de um ataque realizado com sucesso ao Apache.org.

Mais informações sobre este ataque pode ser lido no blogue do Apache [aqui].

Faz-me recordar os tempos em que alguns web developers respondem a um alerta de uma falha XSS com o “isso não dá em nada…”.

Podem obter mais informações sobre este método na OWASP.

Serão realmente os “URL shorteners” perigosos?

No Zscaler encontrei um artigo muito bom que desmistifica o que muitos na área de segurança web classificam como uma ameaça.
Url shortener ou o URL real, vai dar ao mesmo nível de ameaça.

Se por exemplo, o Google Safe Browsing detectou algo malicioso num URL, um URL Shortener desse mesmo URL vai ser detectado igualmente porque o URL shortener não passa de um redireccionamento via HTTP 301.

Aconselho a leitura [aqui].