馬斯克推 Twitter Blue 驗證收費 8 美元,卻讓釣魚信件有機可趁

作者 | 發布日期 2022 年 11 月 02 日 9:42 | 分類 社群 , 資訊安全 line share follow us in feedly line share
馬斯克推 Twitter Blue 驗證收費 8 美元,卻讓釣魚信件有機可趁


Twitter 新老闆馬斯克(Elon Musk)稍早才推文宣布,Twitter 用戶若想保留帳號後面的「藍勾勾」,那麼就得每月支付 8 美元來訂閱 Twitter Blue,他也強調,Twitter Blue 的價格會隨著每個國家/地區的購買力來調整。只是馬斯克的新政策,卻意外成為另一波資安問題。

據《TechCrunch》報導,網路犯罪份子看準現在 Twitter 驗證之亂,透過發送釣魚信件,騙取不知情用戶的帳號密碼。釣魚信件會偽裝成 Twitter 官方的驗證信,要求用戶點擊信件內連結,並輸入帳號密碼。

但釣魚信件是由某 Gmail 帳號發送,含導向 Google 文件的連結,以及導向某個 Google 站點的連結,這站點允許用戶託管網頁內容。

釣魚信件流竄使 Twitter 驗證亂上加亂;因有心人士透過 Gmail 發送 Google 站點連結,很難讓 Google 掃描到附加內容有安全疑慮(因都是 Google 的工具)。

釣魚信件連結頁面還含另一個站點嵌入框架,託管在俄羅斯網路主機 Beget,這框架要求用戶輸入 Twitter handle、密碼及電話號碼等私人資訊;這足以威脅到不使用雙重身分驗證的帳號。

不過《TechCrunch》示警後,Google 已關閉釣魚信件連結網頁,也刪除此釣魚 Gmail 帳號。

(首圖來源:Unsplash