Prevaranti zloupotrebljavaju standardnu funkciju X-a (Twitter) za promovisanje kripto prevara

Društvene mreže, 21.12.2023, 13:30 PM

Prevaranti zloupotrebljavaju legitimnu funkciju X-a (Twitter) da bi promovisali prevare, lažna darivanja i Telegram kanale koji se koriste za krađu kriptovaluta i NFT-ova.

URL tvita na X-u se sastoji od imena naloga osobe koja ga je objavila i ID statusa:

https://twitter.com/[account_name]/status/[status_id].

Veb sajt koristi ID statusa da odredi koji post treba da se učita iz baze podataka sajta, pri čemu se ne proverava validnost imena naloga. To omogućava prevarantima da uzmu URL za tvit i promene ime naloga u koje god žele. Kada posetite URL, veb sajt vas preusmerava na tačnu adresu povezanu sa ID-om.

U primeru koji je naveo tim Bleeping Computera URL

https://twitter.com/BleepinComputer/status/1736650221243826564

izgleda kao legitimna objava sa X naloga sajta (@bleepincomputer). Međutim, link vodi do objave Ilona Maska, pošto je ID povezan sa jednim od njegovih tvitova.

Ovaj potencijalni problem primećen je još 2019. godine. Međutim, u to vreme to nije bilo zloupotrebljavano za fišing napade.

Ali sada, nekoliko godina kasnije, istraživači bezbednosti iz MalwareHunterTeama upozoravaju da su prevaranti počeli da koriste ovaj mehanizam preusmeravanja. Oni poslednje dve nedelje, ako ne i duže, koriste ovaj mehanizam kako bi kreirali URL adrese koje izgledaju kao da pripadaju legitimnim, dobro poznatim kompanijama, kao što su Binance (sa 11 miliona pratilaca), Ethereum Foundation (3 miliona), zkSync (1,3 miliona) i Chainlink (1 milion).

Tvitovi koje su primetili istraživači izgledaju kao tvitovi sa naloga Binance, Ethereum i zkSync. Međutim, oni preusmeravaju na tvitove korisnika X-a koji promovišu kripto prevare, lažne kriptovalute, veb sajt koji je kripto drainer, što znači da kada povežete svoj novčanik, on automatski krade kriptovalute i NFT, i Discord kanale koji promovišu „pump-and-dump“ prevare.

Skoro svi nalozi koji zloupotrebljavaju ovu funkciju za promovisanje kripto prevara koriste ime naloga u formatu - ime plus 5 cifara, kao što je @amanda_car16095.

Kako se zaštititi od ovakvih prevara? Obratite pažnju da li se nalog razlikuje od onoga što je bilo u URL-u. Međutim, to možda nije uvek dovoljno, jer neki URL-ovi kao što je zkSync URL, mogu vas prevariti jer su prevaranti napravili nalog sa nazivom kompanije u korisničkom imenu.

Takođe, otvaranje ovih linkova na mobilnom može biti zbunjujuće, jer aplikacija ne prikazuje adresnu traku, a vi vidite samo objavu.