Twitterアカウントの乗っ取りにご注意!

某友人からTwitter上で変なDMが来るなぁ…と思って文面で検索してみたです。
したら、どうやらアカウントがちとヤバイことになってるかもしれない模様…

乗っ取りに注意、Did you see this pic of you? lol URL … という内容のTwitterフィッシングサイトへ誘導するスパムDMが発見されました。 | Twitterスパム情報サイト.
Twitter利用者のアカウント乗っ取りが相次いでいます。これはとても巧妙な手口を用いており、その内容としては

Did you see this pic of you? lol URLリンク … (訳 あなたはこの写真をみましたか?(笑) http://)

から始まる内容のDM(ダイレクトメッセージ)とURLリンクを乗っ取ったアカウントを利用してフォロワーに送りつけ、偽のTwitterサイトへ誘い出し個人情報を騙しとるという手口です。詳細は以下の「Twitterフィッシングサイトの手口とは?」をご参照ください。

まさにこれにばっちり該当してます。

短縮URLは文字数を縮めてくれるのでTwitterで使う分には非常に便利だけど、
フィッシングサイトのURLを隠したりできるのが困ったところ。

DM自体は2件来てて、送られてきたメッセージは以下の通り(太字にしたけどURLにリンクは貼ってません)。
 #尚、この後いくつかURLが出てきますが、ヤバイ系には一切リンク貼ってません
  フィッシングを確認するのに有用なサイトのみリンクを貼っています

その1:Did you see this pic of you? lol bit.ly/UzLlcw …
その2:Did you see this pic of you? lol bit.ly/11gXNlX …

どちらも上記サイトに書かれたものと全く同じ文面です。

ちなみに送られてきたURLですが、
複数のURL短縮サービスを経て元のURLを分かりにくくしたうえで、
更にリダイレクトまでしてから最終的には同じフィッシングサイトに到達しています。

まずbit.ly/UzLlcw
こいつの<a>タグの飛び先は http://t.co/A96Sjic。
これのURLを展開すると、http://bit.ly/UzLlcw。
もう一回展開すると、http://dissx.perug.ru/。
もう一回展開すると、http://itwtier.com/r5/。
そこから更にhttp://itwtier.com/9/verify/?&account_secure_loginに到達します。

続いてbit.ly/11gXNlX。 
こいつもbit.ly/UzLlcwとほぼ同じ作りになっており、
<a>タグの飛び先→http://t.co/lbPuMHT
展開URL1→http://bit.ly/11gXNlX
展開URL2→http://xfdaf.eoloy.ru/
展開URL3→http://itwtier.com/r5/
リダイレクト先→http://itwtier.com/9/verify/?&account_secure_login

ということで、到達先は同じhttp://itwtier.com/9/verify/?&account_secure_login。

このitwtier.comが本命のフィッシングサイトで、
ぱっと見のドメインも含めてTwitterにうまい具合に見せかけています。

2013y01m10d_154439921

ですが、ドメイン名でもわかるように決してTwitterではありませんのでくれぐれもご注意を。

PCの場合、最近のウイルスソフトはフィッシングサイトを遮断してくれたりするので比較的安全ですが(上は画像を撮る為に遮断されたのをあえて踏みに行った)、
スマートフォンの場合はサイトチェックをしてくれない無料のウイルスアプリを使ってる人が多いので、危険度がUPします。
怪しい短縮URLは踏まないことをお勧めします。

ちなみに短縮URLについては、以下のサイトで展開してくれるので、アクセスしなくても正体を確認することが可能です。
KnowURL: Expand Original URL From Shortened URL

あと、リダイレクトについても、こんなサイトもあるので、活用するといいかも。
リダイレクト検証ツール | SEO 検索エンジン最適化

DM以外でもスパムツイートに以下のような事例があります。

Make This Your New Years Resolution http://リンクURL  – The Fastest Way To Lose Body-Fat in (2)-Weeks

ちなみに、これはとくにリダイレクトとかはかけずに単純にURL短縮だけな模様。

http://bit.ly/ULqrtI
→http://zdfzbvq.perfectworldnews.com/

http://bit.ly/WOmD5O
→http://wcjha.perfectworldnews.com/

http://bit.ly/10fnDro
→http://owvtoal.perfectworldnews.com/

このperfectworldnews.com、ドメイン自体をaguse.jpで調査してみましたが、
aguse.jpの11個あるブラックリスト判定のうち2個で注意サイトとして登録されていました。

http://www.aguse.jp/?url=perfectworldnews.com

ドメインが注意サイトに登録されている段階で、
サブドメインの上記3つがどうなってるかは…推して知るべしですね…

Twitterで怪しげなURLを踏まないのは鉄則ですが、
どうしても踏みたい時は、

  1. 短縮URLは踏む前にKnowURLで展開して確認する
  2. 怪しげなURLはaguseで調査する

をやっておくべきでしょう。

あと、「乗っ取られた!」と思った人は、

  • 即行パスワード変更
  • スパムツイートの削除
  • アプリ連携の全削除

をやってください。
特に一番クサイのは、アプリ連携です。
一回全削除してから、自分がよくアクセスするアプリだけ許可するように気をつけましょう。