Cómo evitar el phising en Twitter

Buenas

Después de leer el enésimo intento de “robar” o “secuestrar” las cuentas de Twitter de algunos usuarios creo que es un buen momento de recordar esto. Aunque esto es muy básico ya me lo han preguntado varias veces y creo que conviene aclarar esto del phising en Twitter. Yo lo voy a intentar de una manera simple y sin perderme en tecnicismos ni explicaciones muy técnicas.

El phising no es un virus, si no un engaño. Los técnicos lo llamamos ingeniería social que queda más “geek” y consiste simple y llanamente en que el engañado revela su password y contraseña para un servicio. ¿Cómo se produce el engaño? Pues normalmente se le presenta al usuario una copia exacta en apariencia de la web donde normalmente hace login para que el usuario crea que está introduciendo sus datos en el sitio correcto. Esto se realiza gracias a que muchas veces no nos fijamos en que página web estamos en realidad, y lo que ha ocurrido al pulsar el enlace es que estamos en otra controlada por estos delincuentes, en apariencia idéntica a la que usamos normalmente.

La mayoría del phising se producía en el correo electrónico y era del tipo bancario. Ya saben, esos correos que nos llegan de que tal o cual cuenta será cancelada si no la activamos, o que nos piden que entremos en una web para confirmar datos. Y eran muy fáciles de evitar simplemente recordando la norma básica de que ningún servicio bancario, y por supuesto ninguno en el que uno no sea cliente, pide por correo u otro medio que un usuario cambie su contraseña y password. Ninguno.

Lo que ocurre es que debido a que las audiencias están en las redes sociales estos delincuentes ahora intentan sus engaños en las mismas. Twitter es especialmente sensible al phising debido a que usamos acortadores de url´s para ahorrar espacio en los updates que publicamos. Al no poder identificar el enlace hasta que pulsamos en él es fácil que al final uno no acabe donde debe. Eso, unido a que es habitual a que el “enlace cebo” llegue a través de un DM, normalmente de una cuenta comprometida y que nos parece de fiar, hace piquemos con facilidad.

Fíjense, si una aplicación legal llama a Twitter para que nos autentifiquemos con nuestro user, la dirección que presentará será siempre :

 http://twitter.com/oauth/autthenticate? . Esta es la dirección buena

En los casos de Phising, si miramos en la dirección donde nos ha llevado el enlace nos encontraremos una dirección distinta a esta, en la que se incluye normalmente la palabra twitter al principio  para que nos confiemos más, pero el resto de la dirección se ve que evidentemente no corresponde con la buena, sino a otro dominio/sitio web.

Por ejemplo esta es una dirección falsa donde nos dirigía una ataque de phising en Twitter.

Otra de las cosas importantes que debemos revisar es qué aplicaciones tienen acceso a nuestro Twitter

Para ello seleccionamos Configuración en la página de Twitter

Luego seleccionamos Aplicaciones. Veremos a la derecha una lista de las que tienen acceso a nuestro Twitter. Es absolutamente recomendable Revocar el acceso a todas aquellas aplicaciones que no usemos o no reconozcamos.

¿Cómo podemos evitarlo?

Pues con sentido común.  Uno no debería hacer clic en cualquier cosa, pero si lo hace y se encuentra con que se le solicita su usuario y password de Twitter, directamente debe cerrar el navegador, olvidarse de ello y eliminar el mensaje.  Y por supuesto atendiendo a la página donde estamos, como les he mostrado. Espero que les sea útil, y perdonen si ya lo sabían, y les ha parecido inútil esta explicación. Ah, esto se aplica a cualquier servicio.