Screencap: ZeroFOX
I sidste uge, Twitter ‘ s sikkerhed team renset næsten 90.000 falske konti efter eksterne forskere opdaget en massiv botnet peddling links til falske “dating” og “romantik” service. Regnskaberne var allerede har genereret mere end 8,5 millioner stillinger, der tager sigte på at køre brugere til en bred vifte af abonnement-baseret scam websites, der lover—du gættede det—internet hot sex.
Det lort regnskaberne blev først identificeret af ZeroFOX, en Baltimore-baserede firma, der har specialiseret sig i sociale medier, trusselsregistrering. Forskerne døbt botnet “SIRENE” efter havets nymfer, der er beskrevet i den græske mytologi som halv-fugl, halvt kvinde væsener, hvis søde sange ofte lokket liderlig, fordrukken sejlere til deres rocky dødsfald.
ZeroFOX s forskning i SIRENEN giver et sjældent indblik i, hvordan en effektiv svindlere er blevet til uden om Twitter ‘ s anti-spam teknikker. Yderligere, det viser, hvor effektivt disse typer af botnet kan være: da-slettede konti, kollektivt genereret op mod 30 millioner klik—nemt spores, da de forbinder alle brugte Google ‘ s URL afkortning service.
90.000 konti blev alle skabt ved hjælp af nogenlunde samme formel: Et profil billede af en stereotypically attraktiv ung kvinde, hvis tweets i prisen seksuelt orienteret, hvis ikke dårligt skrevet bemærkninger om, at invitere brugere til at “mødes” med dem, for en “sex chat.” Millioner af brugere tilsyneladende faldt for ruse-og, formentlig, en lille brøkdel af, gik på at give deres betalingskort oplysninger til pornografiske hjemmesider, de blev lokket til.
“De konti, enten engagere sig direkte med et mål ved at citere en af deres tweets eller tiltrække mål nyttelast synlige på deres profil bio eller fastgjort tweet,” ZeroFOX rapporter. Omkring 20 procent af regnskaberne lå i dvale i et år, før de sender deres første tweets, et forsøg på at unddrage Twitter ‘ s anti-spam-registrering.
Her er lige en kort prøve af den afsindigt dårlig tweets, der genereres af disse naturligvis falske konti:
- “Jeg ønsker at #kæle for mig?”
- “Jeg ønsker at tage min #jomfru?”
- “Kom hjem fra træning, træt vildt?”
- “Miav, jeg ønsker at have sex.”
- “Drenge som du, min figur?”
- “Ønsker en vulgær, unge mand?”
Tweets yderligere inkluderet links til affiliate programmer—web-sider, der typisk vil omdirigere brugerne til andre voksne websteder. Medlemmer af disse programmer, der traditionelt er stærkt afhængige af spam, modtager udbetalinger er baseret på den mængde trafik, som de sender til abonnement-baseret porno og såkaldte “voksen dating” hjemmesider. Ligeledes er mange af de “dating” hjemmesider i sig selv er svindel, der primært består af falske kvindelige profiler, der tilskynder besøgende til at tilmelde sig betalt abonnementer med løfter om halt cybersex og nøgenbilleder. (PSA: Der er bogstaveligt talt ingen kvinder på internettet, der ønsker at have sex med dig.)
Ifølge ZeroFOX, at to ud af fem af de domæner, tweeted af SIRENEN botnet er forbundet med et firma kaldet Deniro Markedsføring. Deniro Marketing blev identificeret tidligere i år af bemærkes, sikkerhed, forsker Brian Krebs som at være bundet til en “porno-alfonseri spam-botnet.” (Krebs har også indgivet en rapport, der mandag om ZeroFOX opdagelse.) Virksomheden angiveligt afgjort en retssag i 2010 for et ukendt beløb, efter at være blevet beskyldt for at drive en online dating service, der er overskredet med falske profiler af unge kvinder.
En Deniro Marketing medarbejder, der tog telefonen på sit hovedkvarter i Californien på mandag sagde, at ingen havde mulighed for at reagere på henvendelser fra journalister.
Selv om det virker usandsynligt, at Deniro Markedsføring skabt den falske konti i sig selv, kan det have en kontrakt med en tredjepart—sandsynligvis et eller andet sted i Rusland og Østeuropa—til at sprede links til dem. En “stor del” af de konti,’ selv-erklæret sprog er russisk, ZeroFOX rapporter, og cirka 12.5 procent af bot navne, der er indeholdt breve fra det Kyrilliske alfabet.
“Vores viden, botnet er en af de største ondsindede kampagner, der nogensinde er optaget på et socialt netværk,” ZeroFox konkluderer. Heldigvis er ingen af de links tweeted af SIRENEN botnet ser ud til at indeholde malware, heller ikke var forbundet med forsøg på phishing. Men med mere end 30 millioner klik, opdagelsen afslører, hvad en trussel sådan en operation kan være, hvis målet blev flyttet lidt til at inkludere, for eksempel, spredning af ransomware.
Twitter har ikke umiddelbart svaret på en anmodning om kommentarer.
[ZeroFOX]