Si invertono gli elementi dell’url e la truffa è pronta. Così un nuovo schema di phishing ha preso forma su Twitter, tramite la proposta di un indirizzo appositamente formato che rimanda l’utente che effettua improvvidamente il click verso un sito che simula il sito originale. Lo scopo, con tutta evidenza, è truffaldino.
Il meccanismo è stato spiegato direttamente sul sito ufficiale tramite apposito comunicato. Tutto verte sull’indirizzo “twitter.access-login.com” nel quale il dominio principale non è ovviamente quello di Twitter, ma nel quale la composizione è fatta appositamente per aggirare l’attenzione ed evitare di insospettire. Il login al servizio, infine, manda gli estremi su server che nulla hanno a che vedere con Twitter, lasciando così i dati in mani di malintenzionati.
Trattasi di un caso come tanti altri, sufficientemente emblematico di ciò che i professionisti delle truffe online praticano quotidianamente sui vari servizi del web. La raccolta di dati relativi agli account degli utenti va a rimpinguare pacchetti di dati in vendita su canali underground. L’utilizzo di tali dati è variegato e soggetto alla creatività dei truffatori. Nel caso specifico un account Twitter può essere utilizzato per raccogliere ulteriori dati personali da “amici” nella buddy list, oppure per effettuare il login su servizi in partnership (Twitter è peraltro da breve nel novero dei siti che hanno aderito a Google Friend Connect).
Twitter nel proprio comunicato ha anche indicato una soluzione temporanea per evitare di essere assoggettati alla truffa anche nel caso in cui si sia improvvidamente cliccato sul falso url e si siano inseriti i dati nel falso modulo di login. La procedura prevede di resettare la password tramite il sito ufficiale, così che venga inviata una mail per la verifica della password. Così facendo il problema è risolto a monte, con la password cambiata prima ancora che il sistema di vendita dei dati possa portare ad una possibile azione truffaldina.
L’attenzione è la prima e unica misura preventiva affidabile: la richiesta dei dati va verificata con gli strumenti disponibili e solo il click disattento può aprire le porte ad una truffa di per sé semplice nei termini e nel funzionamento. Eppure a finire nella trappola dei malintenzionati non v’è utenza del tutto sprovveduta: tra i nomi colpiti figurano ad esempio anche Barack Obama, Rick Sanchez (achorman CNN), Britney Spears nonché l’account ufficiale Fox News. Per i nomi noti la beffa si è subito concretizzata con i rispettivi account presto animati da messaggi improbabili ed in molti casi offensivi.