サイバー犯罪者は、無意識のユーザーのパスワードを盗むように設計されたフィッシング メールを送信することで、Twitter の現在進行中の検証の混乱を既に利用しています。
フィッシングメールキャンペーン、 TechCrunchが見た、Twitter ユーザーをおびき寄せて、Twitter ヘルプ フォームを装った攻撃者の Web サイトにユーザー名とパスワードを投稿させようとします。
電子メールは Gmail アカウントから送信され、ユーザーが Web コンテンツをホストできるようにする Google サイトへの別のリンクを含む Google ドキュメントへのリンクがあります。 これにより、いくつかの難読化レイヤーが作成され、Google が自動スキャン ツールを使用して不正行為を検出することがより困難になる可能性があります。 しかし、ページ自体には、ロシアの Web ホスト Beget でホストされている別のサイトからの埋め込みフレームが含まれており、ユーザーの Twitter ハンドル、パスワード、電話番号を要求します。これは、より強力な 2 要素認証を使用しないアカウントを侵害するのに十分です.
TechCrunch が会社に警告した直後に、Google はフィッシング サイトを削除しました。 Google の広報担当者は TechCrunch に次のように語った。
Twitter ユーザーの資格情報を盗むように設計されたフィッシング メールのスクリーンショット。 画像クレジット: TechCrunch.
おそらく、Twitter が検証を含むプレミアム機能に対してユーザーに月額料金を請求するという最近のニュースを利用するために、キャンペーンがすぐにまとめられたためと思われます。支払わないでください。
これを書いている時点で、Twitterは、公人、有名人、政府などの特定のTwitterアカウントの信憑性を確認するために2009年に開始された検証プログラムの将来について、まだ公式の決定を下していません. しかし、Elon Musk による 440 億ドルの買収が完了した後、今週 Twitter が非公開化されて以来、サイバー犯罪者が (スキルの低い側であっても) Twitter からの明確な情報が不足していることを利用することを止めていないことは明らかです。
TechCrunch はまた、Beget にフィッシング ページがあることを警告し、その後、問題のドメインを運用から除外しました。 ツイッターの広報担当者はコメントを控えた..