近期,威胁行为者正入侵Twitter认证帐户,他们通过发送精心编造的虚假暂停消息来试图窃取其他经过认证的用户凭据。大家应该了解认证账户的特殊性,尤其是账户标注为某名人、政治家、记者、活动家、政府或私人组织,在获得认证前Twitter就会对其进行验证,所以要获得经过验证的“蓝色徽章”,用户必须申请验证并提交证明文件,以说明他们的帐户的真实性。
由于获得蓝色徽章并不容易,这类账户就容易获得人们的信任,所以这类账户就理当成了威胁行为者的主要入侵目标。上周五,BleepingComputer 的记者Sergiu Gatlan就在Twitter DM收到了一封网络钓鱼诈骗,该钓鱼邮件称他的帐户因传播仇恨言论而被暂停:“您的帐户已被我们的自动化系统标记为不真实和不安全,传播仇恨言论违反了我们的服务条款。twitter非常重视平台的安全性,如果你没有完成身份验证过程,我们会在48小时内暂停你的帐户。”
为了测试网络钓鱼诈骗,Sergiu Gatlan访问了DM中的tinyurl.com地址,该地址将他重定向到https://twitter-safeguard-protection[.]info/appeal/。这个网站首先要求一个Twitter用户名,当进入测试账户时,它使用后端的Twitter API来检索测试账户的照片,如下所示。显示合法图片增加了网络钓鱼诈骗的合法性。
和其他网络钓鱼不同,这个网络钓鱼网站拒绝用户输入的错误密码。在输入正确密码后,它会提示输入帐户的电子邮件地址,并且假的电子邮件地址也会被拒绝,这个行为表明网络钓鱼网站正在使用 Twitter API 来检查有效的帐户信息。最后,一旦输入了正确的信息,钓鱼页面就会显示一条消息,“真实性检查已完成,您的帐户已被我们的自动系统证明是真实的”。
此时Sergiu Gatlan发现他的测试帐户的凭据已被盗,他立即将其重置为另一个帐户。但其他人可能不会意识到他们的凭据被盗,并且会发现他们在当天晚些时候或第二天已经无法再登录到他们的帐户。
这些诈骗信息会由被黑客入侵认证账户,再发送给其他还未被入侵的认证账户,并且使用的钓鱼诈骗手法一致。很多用户,包括认证用户在Twitter上发布他们遭受网络钓鱼攻击的情况并不少见。但威胁行为者也在继续改进他们的入侵策略,使他们的攻击看起来合法,他们还会在钓鱼时增加了一种紧迫感,这导致人们会忽视一些可疑迹象。
因此,当你收到一条消息,将你引导至他们要求您提供凭据的站点,请务必花时间分析它是否存在奇怪的域名、异常的拼写错误和语法错误。为安全起见,请仅在twitter.com上使用您的Twitter凭据登录,切勿在任何其他网站上登录。
参考来源:https://www.bleepingcomputer.com/news/security/verified-twitter-accounts-hacked-to-send-fake-suspension-notices/