Um suposto artigo que mostraria detalhes de uma briga entre os candidatos à Presidência Dilma Rousseff (PT) e José Serra (PSDB) é a mais nova isca de um golpe que explora uma falha de autenticação no Twitter.

A mensagem tem o texto “Dilma sai no tapa com Serra” e vem acompanhado de um link encurtado que, clicado, pode fazer com que o cookie de autenticação armazenado no PC do usuário seja enviado para o golpista. O Twitter, no entanto, afirmou ter consertado a brecha.

Desde segunda-feira (6/9), diversos outros temas têm sido utilizados para fazer com que os usuários caiam no golpe. Entre eles estão um boato sobre a morte de um integrante da banda brasileira Restart, fotos da apresentadora de TV Sabrina Sato nua e até o "fim do Twitter".

Embora tenha origem em uma falha de autenticação, o golpe tem sido chamado de “vírus” por seu poder de disseminação. Um dos nomes que recebeu foi Octane, que seria referência a um programador brasileiro chamado Marcelo Octane. Sua conta no Twitter (@octanefx) está atualmente suspensa.

Ao blog Superativa, Octane admitiu que talvez tenha sido “quem mais brincou com o XSS”. “Comecei com apenas 50 profiles fazendo spam e em apenas algumas horas já eram quase 50 mil contas infectadas”, disse ao blog.

O golpe explora uma vulnerabilidade da tecnologia Cross-Site Scripting (XSS) para roubar o cookie de autenticação do usuário do Twitter. Com ele, o golpista pode publicar tweets diretamente nas contas comprometidas e até fazer com que a vítima se torne um seguidor (follower) dele.

No site XSS Attacks Information, o pesquisador de segurança chamado Mike Bailey produziu uma prova de conceito na qual quem clicar em um link irá ter uma mensagem retuitada automaticamente em sua própria conta.

Para explorar a falha, Bailey utilizou-se de recursos disponíveis no site do Twitter voltado para desenvolvedores (dev.twitter.com). Na noite de 7/9, este site estava fora do ar para manutenção.

Os golpes que usam vulnerabilidades XSS não são novos, mas tiveram um novo surto por conta de sua proliferação pelos usuários brasileiros. Nesta terça-feira (7/9), o especialista da Kaspersky Labs Stefan Tanase advertiu, no site SecureList, sobre o novo exploit XSS que já teria afetado mais de 100 mil contas, a julgar pelo número de cliques no link registrado pelo Bit.ly.

Segundo Tanase, “todas as pistas apontam para o Brasil como o país de origem deste ataque”. O especialista contou ainda, em uma atualização em seu post, que o Twitter confirmou ter consertado a vulnerabilidade. O Twitter, no entanto, ainda não confirmou a correção em seu site.

A quem julgar ter caído no golpe, recomenda-se trocar a senha no microblog.