网络犯罪分子已经通过发送旨在窃取不知情用户密码的网络钓鱼电子邮件来利用 Twitter 正在进行的验证混乱。
TechCrunch 看到的网络钓鱼电子邮件活动试图引诱 Twitter 用户在伪装成 Twitter 帮助表单的攻击者网站上发布他们的用户名和密码。
该电子邮件是从一个 Gmail 帐户发送的,链接到一个 Google 文档,另一个链接到一个 Google 站点,该站点允许用户托管 Web 内容。这可能会造成多层混淆,使 Google 更难使用其自动扫描工具检测滥用行为。但是该页面本身包含来自另一个站点的嵌入框架,该站点托管在俄罗斯网络主机 Beget 上,该框架要求用户的 Twitter 句柄、密码和电话号码——足以危及不使用更强大的双因素身份验证的帐户。
旨在窃取 Twitter 用户凭据的网络钓鱼电子邮件的屏幕截图。图片来源: TechCrunch。
该活动在本质上看起来很粗糙,可能是因为它很快被整合在一起,以利用最近的消息,即 Twitter 很快将每月向用户收取高级功能的费用, 包括验证,以及据报道有可能拿走 Twitter 用户的经过验证的徽章不要付钱。
截至撰写本文时,Twitter 尚未就其验证计划的未来做出公开决定,该计划于 2009 年启动,以确认某些 Twitter 账户的真实性,例如公众人物、名人和政府。但它显然并没有阻止网络犯罪分子——即使是在低技能端——利用 Twitter 缺乏明确信息的机会,因为它在埃隆马斯克440 亿美元的收购结束后于本周私有化。
TechCrunch 已向 Google 和 Beget 发出网络钓鱼页面的警报,但并未立即收到回复。 Twitter 发言人没有立即回应置评请求。
Twitter 的验证混乱现在是Zack Whittaker最初发表在TechCrunch上的一个安全问题
原文: https://techcrunch.com/2022/10/31/twitter-verification-phishing/