A Siren nevű botnet fénykorában közel 90 ezer Twitter fiók felett rendelkezett, onnan küldte felnőtt tartalmú üzeneteit a meghackelt fiókokat használók ismerőseinek. Az üzenetben egy ártatlannak tűnő Google rövidlink (ami a goo.gl-lel kezdődött) vezette tovább a gyanútlan, felnőtt tartalomra vágyó internetezőket egy hamis randioldalra, webkamerás site-ra vagy más, pornográf tartalmat kínáló helyre.

Csábítás, az ősi trükk

Február óta követték nyomon a ZeroFOX biztonsági kutatói az összességében több százezer bot account tevékenységét a Twitteren. Megfigyelésük szerint zömmel felnőtt tartalmakat kínáló kéretlen reklámokkal spammelte tele a közösségi médiát, emiatt a ZeroFOX szakemberei a görög mitológiában szereplő szirének után nevezték el a botnetet.
 

Minden esetben egy lengén öltözött hölgy képét használtak avatarként, leírásnak pedig a pár (szex-)kereső Tinder alkalmazás profiljainak rosszabb bemutatkozásait idéző szövegeket helyeztek el (lásd fent). Rövid mondandójukat mindig két részből rakták össze, például „Újabb meztelen fotót tettem közzé.” melyet többnyire valami ilyesmi követett: „Kattints a linkre.” És, ahogy a tengeri nimfák éneke hatott Homérosz Odüsszeiájában, úgy a Siren a Twitteren aratta sikereit – a csábító képeknek és szövegnek bedőlve sokan kattintottak.

Összesen mintegy 8,5 millió tweet került ki a közösségi hálózatba, mely több mint 30 millió kattintást eredményezett, vagyis közel 4 klikkelést linkenként, árulta el Zack Allen, a ZeroFOX fenyegetéskezelési vezetője.

Orosz gyökerek

Az internet hajnala óta kénytelenek vagyunk foglalkozni a nem kívánt üzenetekkel, de a közösségi médiában való terjedése a közelmúltban vált egészen zavaróvá (az emberi butaság mértéktelenségét jelző álhírek – bővebben itt, itt és itt - elszaporodása mellett). A botnetes támadások korábban zömmel e-maileken keresztül, áldozatról áldozatra bontakoztak ki, de most már elsősorban a közösségi médiát célozzák. A Facebook 2 milliárdos felhasználói tábora ideális célponttá teszi a Facebookot, és a Twittert is előszeretettel támadják, lásd cikkünk tárgyát.
 

A közösségi médiát kiaknázó próbálkozásoknak ugyanis van egy vitathatatlan előnye az elektronikuslevél-alapú kísérletekkel szemben: ha sikerrel járnak, akkor nem csak a célpontot érik el a spammerek, hanem egyúttal azok közvetlen ismerőseit is. A kéretlen üzenet nem csupán a megtámadott számára jelenik meg, hanem kvázi kapcsolati hálójának minden egyes tagja belefuthat. És míg az e-mailalapú spamek Junk mappába küldése hosszú évek alatt rutinfeladattá finomodott, addig a közösségi térben még jórészt védtelenek vagyunk az elektronikus szeméttel szemben.

Ahhoz persze, hogy sikeres legyen egy ilyen támadás, a spammereknek be kell vetnie néhány trükköt. Például a már említett URL-rövidítést, amivel a Twitter és a Google – minden tapasztalattal szembe menően egyébként létező – antispam szűrője megkerülhető. Különösen jól teljesített a Siren ezen a téren, a ZeroFOX állítása szerint ugyan már számos, a közösségi tereket érintő támadást nyomon követtek, de olyan sikereset, mint amit a cikkünk tárgyául szolgáló botnet vitt véghez, még sosem tapasztaltak.

Allen vélekedése alapján a támadások Kelet-Európából érkeztek. Ezt a megállapítást elsősorban arra alapozta a kutató, hogy a botok alapértelmezett nyelve gyakran orosznak bizonyult. A fertőzésnek egyébként az vetett véget, hogy a ZeroFOX jelezte a Twitternek a Siren létét július 10-én, ezeknek az információknak a birtokában pedig a közösségi site üzemeltetője egyszerűen letiltotta a spammelő fiókokat. A Google biztonsági csapata pedig feketelistára tette az összes, spammelés közben használt URL-t.