Las URL de Twitter se pueden manipular para difundir noticias y estafas falsas
La forma en que Twitter crea las direcciones URL de un tweet se puede abusar con propósitos sin escrúpulos que van desde la ejecución de campañas de desinformación hasta la propagación de malware o engañando a los usuarios para que accedan a una página web maliciosa.
Lo que vemos en la barra de direcciones del navegador cuando accedemos a un tweet es una URL que contiene un nombre de usuario y el ID de estado del tweet, que se define por una larga cadena de caracteres numéricos.
Sin embargo, el nombre de usuario es completamente irrelevante para llegar a un mensaje específico en Twitter. Solo se necesita el tweet-status-id.
Por ejemplo, las siguientes URL mostrarán el mismo tweet porque contienen el mismo ID de estado del tweet, que en este caso es 1087839317534363648.
https: //www…twitter.com/davy/status/1087839317534363648
https: //www…twitter.com/realDonaldTrump/status/1087839317534363648
https: //www…twitter.com/bleepincomputer/status/1087839317534363648
Este comportamiento abre la puerta al abuso, ya que se podría engañar a los usuarios para que piensen que un usuario de Twitter está promocionando un tweet en particular y su contenido. Esto podría llevar a la diseminación de la desinformación o al contenido malicioso, ya que el usuario que hace clic en el Tweet cree que proviene de una fuente confiable.
Desvío a través de la redirección
Como a Twitter no le importa qué nombre aparece en un tweet y solo le importa el ID, los malos actores pueden modificar los tweets para que parezca que alguien está promocionando el tweet y el contenido al que se redirige.
El investigador de seguridad Davy Wybiral ofreció una muestra de este engaño al publicar un enlace supuestamente del presidente Donald Trump, que redirigió a un tweet más antiguo del investigador.
Esto deja espacio para una ingeniería social bien diseñada que puede dirigir fácilmente al contenido de un atacante.
Mientras que en los navegadores de escritorio, la redirección es más visible en la barra de direcciones, un engaño de este tipo puede ser refinado para que sea más difícil de detectar por una posible víctima.
El truco es aún más poderoso en dispositivos móviles, donde la redirección está completamente oculta porque el tweet se abre en el cliente de Twitter.
Usando este método, las campañas de desinformación pueden hacer que se vea como una figura política, como el presidente Trump, respalda una vista particular al agregar su nombre de cuenta a un tweet.
Incluso puede llevarse más lejos, ya que Twitter no tiene restricciones con respecto al nombre del perfil, una persona con principios morales flexibles podría fácilmente hacerse pasar por una cuenta de Twitter y utilizar el comportamiento de redireccionamiento para señalar a los usuarios mensajes sombríos.
Para comprender mejor el riesgo, BleepingComputer creó esta prueba de concepto de mala calidad [ twitter.com/ NSAGov / status / 1139201495856025605 ] que tiene el nombre de usuario de la Agencia de Seguridad Nacional en el enlace, pero el ID de estado de una cuenta que controlar.
Al abrir el enlace en una computadora de escritorio se revelan algunas pistas sobre la cuenta falsa, pero es posible que se pasen por alto si tienen un nombre similar al de la cuenta suplantada.
Para los fines de la demostración, cambiamos temporalmente el nombre del perfil y agregamos imágenes para que pareciera que la cuenta pertenecía a la NSA.
Al final de la redirección, puede haber desde información falsa hasta enlaces que apuntan a malware, phishing u otros tipos de estafas.
Sin embargo, lanzar el mismo enlace en un teléfono móvil muestra pocos indicios de que es una estratagema y hay muchas posibilidades de que el engaño pase desapercibido.
Este problema de manipulación de redireccionamiento no es nuevo. El primer informe que encontramos es [de 2012](http://shkspr.mobi/blog/2012/05/interesting-twitter-hashbang-bug/) , de Terence Eden, quien también ofreció la información en una respuesta en Stack Overflow a [principios de enero de 2015](https://stackoverflow.com/questions/27836043/get-tweet-url-having-only-tweet-id/39822226) . También se [sugirió en 2016](http://stackoverflow.com/questions/5652136/url-for-a-link-to-twitter-for-a-specific-tweet/37555814#37555814) como una solución para recuperar enlaces a tweets específicos. Y fue [reportado nuevamente en 2017](https://www.bram.us/2017/11/22/accessing-a-tweet-using-only-its-id-and-without-the-twitter-api/) por el desarrollador independiente [Bram Van Damme](https://twitter.com/bramus) .
Maduro por el abuso
Toda plataforma de comunicación es un terreno fértil para difundir información, incluso noticias falsas.
Facebook es la opción típica para las organizaciones que participan en la formación de opiniones distorsionadas de la realidad política , social o cultural. Twitter tampoco es ajeno a esto. Justo ayer, los investigadores de Recorded Future compartieron su trabajo para identificar las operaciones de influencia en las redes sociales.
Hoy, Twitter también anunció que eliminó casi 5,000 cuentas falsas registradas para actividades respaldadas por el estado. Esto es solo una gota en un cubo que ha estado llenando durante bastante tiempo con cuentas falsas que generaron más de 30 millones de tweets y publicaron más de un terabyte de archivos multimedia.
Wybiral le dijo a BleepingComputer que un método para abusar de Twitter es comenzar a usar los manejadores de cuentas que ya no están activas. Esto funciona porque Twitter permite cambiar el nombre de usuario de la cuenta, cualquiera puede elegir uno que fue abandonado. Un nombre de usuario al que también se hizo referencia en el pasado por una fuente confiable que todavía está disponible tiene una mayor oportunidad de pasar la prueba de legitimidad.
“Por lo tanto, un troll inteligente puede raspar la web en busca de enlaces de cuenta que ya no están activos y comenzar a usar su control. Si necesitan una prueba de que son una persona real y no un troll … Pueden citar la referencia más antigua a la Cuenta”, nos dijo el investigador.
Fuente: BleepingComputer