Kloner brukerkontoer automatisk

Verktøy åpner for nye måter å svindle Twitter-folket på.

5. mars 2010 - 13:40

Forsker Pedro Varangot hos Core Security, et selskap spesialisert på penetrasjonstesting, har demonstrert et verktøy for å klone brukerkontoer på Twitter og styre målrettede angrep mot vedkommendes kontakter, heter det i en rapport publisert på nettstedet Dark Reading.

Demonstrasjonen skjedde på sikkerhetskonferansen RSA Conference 2010 i San Francisco denne uken.

Core Security tar sikte på å gjøre verktøyet tilgjengelig for dem som vil bruke det i forbindelse med ulike typer sikkerhetsarbeid, for eksempel opplæring, bevisstgjøring eller penetrasjonstesting.

Varangot og Core Security tror sosiale nettjenester kommer til å brukes i stadig større grad for å spre ondsinnet kode. Hittil har angrep tydd til e-post. Kriminelle hackeres problem med e-post er at brukere er i ferd med å bli mindre godtroende. Sosiale nettjenester brukes i dag i utstrakt grad til spam og ormer, og betraktes som et effektivt medium for målrettet phishing.

Den første utgaven av Core Security-verktøyet virker på Twitter, men skal lett kunne utvides til å utnytte andre typer sosiale nettjenester, også Facebook.

Verktøyet bygger på Exomind, et eget rammeverk i Python som Core Security har utviklet for å teste ut hvordan sosiale tjenester, søketjenester og lynmeldingstjenester kan misbrukes.

IT-sikkerhetsselskapet er overbevist om at kriminelle miljøer vil utvikle tilsvarende teknologi på egen hånd.

Twitter-verktøyet fanger opp en Twitter-brukers profil, som det legger til grunn for en tro kopi av brukerens Twitter-side. Brukerens tvitring fanges opp løpende, slik at det er lett å lure vedkommendes kontakter over på den falske siden. Slik kan de som bruker hacker-verktøyet stadig utvide tallet på Twitter-kontoer som de kontrollere, og for eksempel spre ondsinnede lenker som folk er tilbøyelige til å stole på, siden de kommer fra kjent hold på Twitter.

En annen måte å bruke verktøyet på, er å samle opp ID-er i sosiale nettverk og selge dem til kriminelle grupper, på samme måte som man samler opp og selger andre typer ID-er.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.