近日一個色情主題的殭屍網絡被研究人員發現,並且被 Twitter 移除,這個以 Twitter 為平台的殭屍網絡總共有 86,262 個殭屍帳號,在過去半年總共發出 8,600 萬條推文,內容全部都是引誘男性到色情、約會、交友和偽婚姻介紹網站。這個殭屍網絡在被發現時仍然活躍,使研究人員有機會深入地觀察該類型殭屍網絡的運作。
自動濫發色情網站連結
殭屍網絡透過運算產生大量 Twitter 帳號,並集結成龐大的網絡,然後開始散播連結,再把用戶帶到色情網站。殭屍網絡使用 Google 和 Twitter 的縮短網址服務,透過兩種方法把網址發送,一種是直接引用目標的推文,另一種是把網址及訊息發送到用戶的個人資料或置頂推文之內。
超過 3 千萬次點擊
根據研究人員觀察殭屍網站運作的結果,估計該輪濫發活動在內年內吸引到超過 3 千萬次點擊,而這次的發現與近期被揭發的濫發電郵殭屍網絡互相有關連。無論電郵或 Twitter 的殭屍網絡都使用相同的策略,帶領受害者到相同網絡的色情網站,那些色情網站雖然五花八門,但是全部都在僅僅 5 個網域之上,其中兩個網域由一家位於加州的公司所擁有,研究人員懷疑該公司是廣告中介,透過增加色情網站的流量和注冊賺取佣金。
多重反偵測技術
Twitter 殭屍網絡的獨特之處,在於無需騎劫他人的電腦或帳號,也不需要支付任何費用,與傳統的殭屍網絡相比成本更加便宜,由於直接瞄準個人的社交媒體帳號,所以效果來得更加直接。事實上,設計者也準備了一些反偵測的技術,例如使用比較舊的帳號,以逃避 Twitter 的反欺詐運算方法。
此外,透過多次重新定向的過程也有助逃避偵測,在重新定向的過程中會首先進行簡單的用戶檢查,如果發現是自動程式(通常是偵測程式),便會把連線帶回到 Twitter 或 Google,如果發現是真人,便會重新定向到最終的網址。檢證的過程可能要求用戶輸入個人資料、電郵地址或 SMS 注冊資料以取得服務。
研究人員也表示,殭屍網絡散播的連結也可能引誘用戶前戶載有惡意程式的網站,而且 Twitter 殭屍網絡偏向收集用戶的電郵和手機號碼。
來源:Threat Post