Metoda ta jest bardzo sprytna, ale wymaga dotarcia do każdego z użytkowników z osobna. Do sprawnego docierania do szerokiej grupy internautów naraz, wykorzystywane są dwa zjawiska powszechne w wirtualnym świecie blogów: subskrypcje popularnych profili oraz zaufanie, którym czytelnicy darzą twórców.

Jak wykorzystać zaufanie

W wirtualnym świecie sieci społecznościowych występują relacje zaufania zbliżone do tych, które tworzą się w świecie rzeczywistym. Jedną z nich jest większe zaufanie do treści publikowanych przez osobę, której dotychczasowe publikacje użytkownik zdążył poznać. Cyberprzestępcy nauczyli się korzystać z takich relacji i wytypowali sporo bardzo popularnych profili Twittera, które były śledzone przez wielu użytkowników. Pierwsze ataki polegały na wysyłaniu wiadomości dzięki sfałszowaniu numeru telefonu komórkowego wysyłającego daną wiadomość. Na taki atak jest podatnych wiele portali blogowych, na przykład polski pinger.pl. Wystarczy poznać numer telefonu danej osoby (czasami jest on publikowany na stronach WWW) i sfałszować nadawcę wiadomości SMS.

Następnym krokiem było przejęcie bardzo popularnych profili,w celu masowego publikowania wiadomości związanych z pornografią oraz nielegalną sprzedażą pewnych farmaceutyków. W styczniu ubiegłego roku przejęto w ten sposób 33 bardzo popularne profile. Podobne ataki wykonano także w innych niż Twitter serwisach.

Aby przejąć profile, wykorzystuje się informacje osobiste, ułatwiające reset hasła. Czasami opłaca się nawet instalacja specjalnie przygotowanego keyloggera lub dobrze spreparowanych wiadomości phishingowych. Jedna z tych metod prawdopodobnie była użyta do przejęcia konta na Twitterze, prowadzonego przez Guya Kawasaki, bardzo popularnego miłośnika komputerów Mac. Według ostrożnych szacunków, zagrożenie mogło objąć co najmniej 140 tysięcy użytkowników. Złośliwe oprogramowanie było przygotowane dla obu systemów operacyjnych - Microsoft Windows (jako fałszywy instalator kodeka w formacie EXE) oraz Mac OS X (kodek w formie obrazu .dmg).

Środek podziemnej komunikacji

Serwisy mikroblogowe są bardzo szybkim środkiem komunikacji, który sprawdza się w wielu sytuacjach. Jest niezwykle powszechny, odbiór wiadomości jest całkowicie anonimowy, ponadto wykrycie twórcy wpisów nie zawsze jest łatwe. Właśnie dlatego cyberprzestępcy wykorzystują fikcyjne profile Twittera na przykład do kontroli pracy botnetów. Początkowo korzystano z prywatnych kanałów IRC, ale ruch IRC jest obecnie blokowany w wielu firmach. Ponadto, ten rodzaj komunikacji jest już bardzo rzadko wykorzystywany i trudno w nim o anonimowość tych, którzy pobierają informacje z danego serwera IRC. Zamiast wydawania komunikatów w kanałach IRC, czy otwierania szyfrowanego połączenia SSL do farmy serwerów kontrolujących botnet, złośliwe oprogramowanie otwiera standardowe, nieszyfrowane połączenie HTTP do usługi mikroblogowej. Jest to mało podejrzany ruch, który z punktu widzenia administratora wygląda tak, jakby zwykły użytkownik przeglądał coś na popularnym Twitterze. Tymczasem, wpis jest pseudolosowym ciągiem znaków, które nie mają nic wspólnego z wiadomościami wpisywanymi przez człowieka, stanowi zestaw zaszyfrowanych informacji, wykorzystywanych do zarządzania botnetem.