Autor: Dell Cameron

Na semana passada, o time de segurança do Twitter removeu aproximadamente 90 mil contas falsas depois que pesquisadores externos descobriram uma rede de bots enorme distribuindo links para serviços de “paquera” e “romance” falsos. As contas já haviam gerado mais de 8,5 milhões de publicações com o objetivo de levar usuários a uma variedade de sites de golpes de assinaturas com promessas de — você acertou — sexo online.

As contas falsas foram identificadas primeiro pela ZeroFOX, uma empresa de segurança de Baltimore, nos Estados Unidos, especializada em detecção de ameaças em redes sociais. Os pesquisadores chamaram a rede de bots de “SIREN” em homenagem a ninfas marinhas descritas na mitologia grega como criaturas metade pássaro, metade mulher, cujas doces canções frequentemente atraíam marinheiros bêbados e excitados para sua morte — supostamente para fazer um banquete com seus cadáveres com deficiência de vitamina.

A pesquisa da ZeroFOX sobre a SIREN oferece um raro vislumbre sobre o quão eficientes os golpistas se tornaram em burlar as técnicas anti-spam do Twitter. Mais adiante, ela demonstra o quão eficiente esses tipos de redes de bots podem ser: as contas deletadas coletivamente geraram mais de 30 milhões de cliques — facilmente rastreáveis já que todos os links usaram o serviço de encurtamento de URLs do Google.

okktjbpuubku0s3toexo

As 90 mil contas foram todas criadas usando praticamente a mesma fórmula: uma foto de perfil de uma jovem com estereótipo atraente cujos tweets incluíam frases sexualmente sugestivas e mal escritas que convidavam usuários a “conhecê-las” para uma um “chat sexual”. Milhões de usuários aparentemente caíram no golpe e, supostamente, uma pequena fração desses forneceu informações de cartão de crédito para os sites pornográficos para os quais foram atraídos.

“As contas ou se envolviam diretamente com um alvo ao citar um de seus tweets ou atraindo alvos para a payload visível na bio de seu perfil ou no tweet fixado”, a ZeroFOX relata. Aproximadamente 20% das contas ficam adormecidas por um ano antes de enviar seus primeiros tweets, um esforço para iludir a detecção anti-spam do Twitter.

Aqui está uma breve amostra dos tweets divertidamente ruins gerados por essas contas obviamente falsas:

  • “Eu quero me #acariciar?”
  • “Eu quero tirar minha #virgem?”
  • “Voltou para casa do treino, selvagemente cansado?”
  • “Miau, eu quero transar.”
  • “Meninos como você, meu corpo?”
  • “Quer um homem jovem e vulgar?”

Os tweets incluíam links para programas afiliados — páginas que normalmente redirecionam usuários para outros sites adultos. Os membros desses programas, que tradicionalmente dependem fortemente de spam, recebem pagamentos com base na quantidade de tráfego que enviam para o site pornô de assinaturas e os chamados sites de “namoro adulto”. Da mesma forma, muitos dos sites de “namoro” são eles próprios golpes, principalmente compostos de falsos perfis femininos, que incentivam os visitantes a se inscreverem para inscrições pagas com promessas de sexo cibernético horrível e nudes. (PS: literalmente não há mulheres na internet que queiram transar com você).

De acordo com a ZeroFOX, dois de cinco dos domínios tweetados pela rede de bots SIREN estão associados a uma empresa chamada Deniro Marketing. A Deniro Marketing foi identificada no início deste ano pelo notável pesquisador de segurança Brian Krebs como vinculada a um “botnet de spam porn-pimping” (Krebs também apresentou um relatório na segunda-feira sobre a descoberta da ZeroFOX). A empresa teria entrado em acordo em um processo em 2010 por uma soma não divulgada depois de ser acusada de operar um serviço de paquera online tomado por perfis falsos de mulheres jovens.

Um funcionário da Deniro Marketing que atendeu o telefone na sede da empresa na Califórnia na segunda-feira disse que ninguém estava disponível para responder às perguntas dos repórteres.

Embora pareça improvável que a Deniro Marketing criou as contas falsas ela mesma, ela pode ter contratado um terceiro — provavelmente localizado em algum lugar da Rússia ou da Europa Oriental — para espalhar os links para eles. Um “grande pedaço” dos idiomas declarados das contas era russo, relata a ZeroFOX, e aproximadamente 12,5% dos nomes dos bots continham letras do alfabeto cirílico.

“Em nosso conhecimento, esse botnet é uma das maiores campanhas maliciosas já registradas em uma rede social”, conclui a ZeroFox. Por sorte, nenhum dos links tweetados pelo botnet SIREN parece conter malwares ou estar associado a tentativas de phishing. Mas com mais de 30 milhões de cliques, a descoberta revela a ameaça que uma operação dessas pode ser se o objetivo for deslocado ligeiramente para incluir, por exemplo, a disseminação de ransomware.

O Twitter não respondeu imediatamente a nosso pedido por comentários.

Fontes: Gizmodo/ZeroFox