Golpistas de criptomoedas estão abusando de um "recurso" legítimo do Twitter para promover golpes, falsos sorteios e canais fraudulentos no Telegram usados para roubar seus criptoativos e NFTs.
No Twitter, antes mais conhecido como X, a URL de uma postagem consiste no nome da conta da pessoa que a twittou e em um ID de status, como mostrado abaixo.
O site usa o ID de status para determinar qual postagem deverá ser carregada do banco de dados do site, sem se preocupar em verificar se o nome da conta é válido.
Isso permite que você pegue uma URL de um Tweet e modifique o nome da conta para o que quiser, até mesmo contas de alto perfil.
Ao visitar a URL, o site simplesmente o redireciona para a URL correta associada ao ID.
Por exemplo, https://twitter.com/BleepinComputer/status/1736650221243826564 parece uma postagem legítima de nossa conta @bleepincomputer no Twitter.
No entanto, ao clicar nela, você é levado a uma postagem de Elon Musk, já que o ID está associado a um de seus tweets.
O BleepingComputer relatou anteriormente sobre esse recurso em 2019, quando o pesquisador de segurança Davy Wybiral expressou preocupações de que tal recurso poderia ser usado para phishing.
Entretanto, naquela época, ele não era usado em ataques de phishing.
O pesquisador de segurança MalwareHunterTeam informou ao BleepingComputer que golpistas começaram a usar esse mecanismo de redirecionamento nas últimas duas semanas, se não mais, para criar URLs que parecem pertencer a organizações legítimas e conhecidas.
Todas as organizações que o BleepingComputer viu serem falsificadas são contas relacionadas à criptografia, como Binance (11 milhões de seguidores), a Fundação Ethereum (3 milhões), zkSync (1.3 milhão) e Chainlink (1 milhão).
Embora pareçam tweets da Binance, Ethereum e zkSync, são redirecionados para os tweets de um usuário do Twitter não relacionado, promovendo golpes de cripto.
O BleepingComputer observou tweets promovendo falsos sorteios de criptomoedas, sites que utilizam drenadores de carteira e canais do Discord promovendo esquemas de pump-and-dump.
O falso tweet de zkSync levou a uma página que imita a empresa e promove um site que a comunidade do Twitter afirma ser um drenador de cripto, ou seja, quando você conecta sua carteira, todos os seus criptoativos e NFTs são automaticamente roubados.
Quase todas as contas vistas abusando desse recurso para promover postagens de scam de cripto usam um nome de conta no formato de nome+5 dígitos, como @amanda_car16095.
É possível filtrar alguns desses tweets ativando o Filtro de Qualidade em Configurações > Notificações > Filtros.
No entanto, você corre o risco de tweets que gostaria de ver serem filtrados incorretamente.
A maioria dos usuários deve imediatamente ser capaz de identificar um tweet de golpe, vendo que a conta é diferente da que estava na URL.
No entanto, alguns, como a URL do zkSync, podem ser perdidos, pois o golpista criou uma conta com a empresa em seu nome de usuário.
Além disso, abrir esses links em dispositivos móveis pode ser um pouco mais confuso, já que o aplicativo não mostra uma barra de endereços e você simplesmente vê a postagem.
Para muitos, poderia ser percebido que uma empresa como a Binance a promoveu, tornando-a mais legítima.
Como esse redirecionamento é um recurso padrão do Twitter, provavelmente não o veremos ser alterado para torná-lo mais seguro.
Isso significa que, se você clicar em um link no Twitter, deve dar uma olhada rápida na barra de endereços (se disponível) para garantir que está visitando o tweet daquela pessoa e não foi redirecionado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...