【藍剔之亂】Twitter 認證收費引騙徒落手 發釣魚電郵騙密碼
Tesla創辦人 Elon Musk 完成收購社交媒體Twitter後即時大舉改革,包括解僱公司管理層、計劃削減 Twitter 一半人手,近日更延伸到用戶認證制度,透過 Twitter 宣布會向藍剔徽章用戶收取每月 8 美金的費用。Elon Musk 此舉引來 Twitter 用戶熱烈討論外,更吸引了騙徒乘機利用 Twitter 藍剔認證之亂,向用戶發出網絡釣魚電郵。
Twitter 藍剔徽章認證一向深受歡迎,因為比例少、關注度高,令不少用戶都想擁有。然而近日許多 Twitter 用戶聲稱收到電郵,包括外國媒體 TechCrunch 及 NBC 新聞的記者,電郵內容表示用戶需要提供資料確認身份,以繼續免費獲得藍剔徽章認證。
根據報道截圖,電郵內提供「Provide Information」按鈕及「Help Center」連結。當用戶點擊該按鈕後會打開一個 Google Doc,內裡的連結指向另一個 Google 網站。該網站設計與 Twitter 協助的頁面相當類似,但其實包含另一個由俄羅斯網絡托管供應商 Beget 托管的嵌入式框架。來到這步,頁面會要求用戶提供 Twitter 用戶名稱、密碼及電話號碼。如果不慎誤信電郵輸入資料,黑客或能毋須通過雙重因素驗證,即可入侵帳戶。
雖然這封電郵像真度似乎很高,但只要細心一看,便能發現該電郵是由 Gmail 帳戶 twittercontactcenter[at]gmail.com 發送的。經記者揭發事件後,Google 已關閉了網絡釣魚網站及刪除該釣魚 Gmail 賬號,避免做成不必要損失。
「這些類型的社交工程釣魚電郵非常有成效,因為他們利用人的情感並立即採取行動。」反釣魚電郵公司 SlashNext 的 CEO Patrick Harry 說道。網絡黑客擅於利用動蕩的局勢謀取私利,特別是具有新聞價值的時事,在今次 Twitter 藍剔徽章認證事件上亦可見一斑。黑客的目標明顯是想保留藍剔徽章認證、又不想付費的用戶,他們對時事的快速應對,亦是令用戶容易墮入騙局的原因之一。
有專家再次告誡用戶,必須以審慎態度打開電子郵件、使用多因素身份驗證(MFA)以保護賬戶,而且在沒有驗證的情況下,切勿在網站上輕易提供個人資料。
資料來源:https://www.darkreading.com/cloud/musk-twitter-verification-payment-cyberattackers?&web_view=true
相關文章:【wepro 小教室】多因素身份驗證