Perfis falsos usam assuntos populares ou mensagens verdadeiras e URL curta para convencer usuário a comprar suposto antivírus para Windows.

Os golpistas estão ampliando o uso de geradores automáticos de contas no microblog Twitter para publicar mensagens sobre tópicos populares. A ideia é convencer os usuários a clicar em um link que leva a servidores que hospedam um antivírus falso para Windows, alertam especialistas em segurança.

Os ataques mais recentes originados por estas contas maliciosas foram gerados por software, informam especialistas das empresas de soluções de segurança F-Secure e Sophos. As contas, que usam nomes variados, representam supostamente usuários norte-americanos do Twitter. Em alguns casos, o papel de parede é personalizado para cada conta falsa, fazendo parecer que o perfil é legítimo.

Os 'tweets' destas contas também são gerados automaticamente, disse o consultor de segurança da finlandesa F-Secure, Sean Sullivan. Alguns dos posts exploram os "Trending Topics", a lista dos dez assuntos mais populares apresentados na página inicial do microblog. Outras mensagens repetem posts reais de outras pessoas.

Todos os 'tweets' incluem links para sites que tentam direcionar o internauta a fazer o download e a instalação de softwares falsos de segurança. Estes sistemas também são conhecidos como "scareware" porque enganam usuários com alertas falsos de infecção do sistema e exibem janelas de pop-up insistentemente até que o usuário se convença a pagar cerca de 40 a 50 dólares por um programa sem uso.

"Mesmo que o Twitter feche estas contas rapidamente, os golpistas criam novas contas falsas na mesma velocidade" afirmou Sullivan. "De alguma forma eles estão driblando o CAPTCHA [sistema que exige a identificação e a digitação de letras e números distorcidos para bloquear o registro automático de contas], mas como eles estão fazendo isso, se por meio de um robô ou por uma série de CAPTCHAs, não sabemos."

Na avaliação do especialista da F-Secure, neste caso, os invasores não estão poupando investimentos para fazer mais dinheiros com o golpe online.

O negócio de scareware já rendeu 5 milhões de dólares por ano a alguns invasores, alertou o pesquisador de redes de computadores-robô - máquinas invadidas silenciosamente para promover ataques online -, da SecureWorks, Jon Stewart.

"Muitas destas campanhas não duram 24 horas" disse a analista de ameaças, Beth Jones, da empresa britânica Sophos. "Na hora em que um site [de distribuição de 'scamwares'] é bloqueado, eles já se mudaram para outro", ela explica.

Os servidores que hospedam o software de segurança oferecido pelo Twitter estão localizados em Toronto, disse Jones. Segundo a especialista, a Sophos tem monitorado estes sistemas desde junho deste ano.

Como o golpe usa um serviço de encurtamento de endereços de sites (URLs) é quase impossível que o usuário consiga saber para onde será levado ao clicar no link.

De acordo com Jones, os golpistas estão usando o serviço de encurtamento Metamark, que não tem suporte no TweetDeck, aplicação que permite visualizar uma prévia do destino dos links.

Na avaliação da especialista em segurança, os golpistas estão usando o Twitter por ser um novo condutor para espalhar seus 'scarewares', já que o microblog vem ganhando cada vez mais adeptos.

No início da semana, o Twitter informou ter apagado as contas geradas automaticamente, mas segundo Jones, alguns 'tweets' com as URLs maliciosas ainda estão disponíveis no serviço.