隨著社群平台 Twitter 在日前由 Elon Musk 收購,並宣布要針對認證帳號收取每月 8 美元費用後,專業資安媒體 BleepingComputer 最近發現以此收費為由,針對已認證帳號持有人發動的釣魚攻擊,數量也大幅增加。
Twitter 在由 Tesla 執行長 Elon Musk 在日前完成全資收購後,Elon Musk 為改善 Twitter 財務狀況,宣布將對擁有官方身分認證(即俗稱「藍勾勾」)的使用者,加收每月 20 美元的費用,稍候又宣布降為每月 8 美元。
BleepingComupter 發現,在 Twitter 這一系列收費公告發表之後,以此為由針對已認證使用者的釣魚攻擊就大幅增加。
這一波針對 Twitter 身分認證使用者的釣魚攻擊,和其他名目的釣魚攻擊十分類似;被列為攻擊目標的 Twitter 身分認證使用者會收到假冒為 Twitter 官方的釣魚信件,內容指稱根據本平台的新身分認證措施,用戶必須在某個時限內點按信中的釣魚連結,重新進行身分認證,否則將撤銷其已通過認證的資格。
當用戶點按信中的釣魚連結後,會被導到一個幾可亂真的釣魚網頁,誘騙用戶輸入自己的 Twitter 登入資訊。
資安專家指出,不只是這波趁 Twitter 宣布收費為由的釣魚攻擊,事實上各社群平台的官方認證帳號,經常是各類釣魚攻擊的駭侵目標,因為擁有這種已認證帳號的用戶,多半屬於重要公部門、企業品牌、政治人物、演藝人員、新聞媒體、網紅等追蹤者較多,影響力較大的單位或個人;駭侵者透過釣魚攻擊取得帳號控制權後,就可以發動各種後續攻擊,例如散布假新聞或惡意軟體、進行金融詐騙等。
建議擁有社群平台官方帳號管理權限者,務必開啟多階段登入認證,並對各種號稱平台官方發送的 email、簡訊、貼文等提高警覺,絕不隨意點按不明連結,且不可將登入資訊隨意提供他人。
- 參考連結
New Phishing Email Exploits Twitter's Plan to Charge for Blue Checkmark
https://www.pcmag.com/news/new-phishing-email-exploits-twitters-plan-to-charge-for-blue-checkmark
As Twitter brings on $8 fee, phishing emails target verified accounts
留言列表
資安宣導 (2)
