Les cybercriminels capitalisent déjà sur le chaos de vérification continu de Twitter en envoyant des e-mails de phishing conçus pour voler les mots de passe d’utilisateurs involontaires.
La campagne d’email phishing, vu par TechCrunch, tente d’inciter les utilisateurs de Twitter à publier leur nom d’utilisateur et leur mot de passe sur le site Web d’un attaquant déguisés en formulaire d’aide Twitter.
L’e-mail est envoyé à partir d’un compte Gmail, abd liens vers un Google Doc avec un autre lien vers un site Google, qui permet aux utilisateurs d’héberger du contenu Web. Cela est susceptible de créer plusieurs couches d’obscurcissement pour rendre plus difficile pour Google de détecter les abus à l’aide de ses outils d’analyse automatique. Mais la page elle-même contient un cadre intégré d’un autre site, hébergé sur un hébergeur russe Beget, qui demande le pseudo Twitter, le mot de passe et le numéro de téléphone de l’utilisateur – assez pour compromettre les comptes qui N’utilisez pas d’authentification à deux facteurs plus forte.
Google a supprimé le site de phishing peu de temps après que TechCrunch ait alerté l’entreprise. Un porte-parole de Google a déclaré à TechCrunch: « Confirmant que nous avons supprimé les liens et les comptes en question pour violation de nos politiques de programme. »
Une capture d’écran de l’e-mail de phishing conçu pour voler les informations d’identification des utilisateurs de Twitter. Crédits d’image : TechCrunch.
La campagne semble de nature grossière, probablement parce qu’elle a été rapidement mise en place pour tirer parti des récentes nouvelles selon lesquelles Twitter facturera bientôt les utilisateurs mensuellement pour les fonctionnalités premium. y compris la vérification, ainsi que la possibilité signalée de Retirer les badges vérifiés des utilisateurs de Twitter qui ne paient pas.
Au moment d’écrire ces lignes, Twitter n’a pas encore pris de décision publique sur l’avenir de son programme de vérification, lancé en 2009 pour confirmer l’authenticité de certains comptes Twitter, tels que des personnalités publiques, des célébrités et des gouvernements. Mais cela n’a clairement pas empêché les cybercriminels – même les moins qualifiés – de profiter du manque d’informations claires de Twitter depuis il est devenu privé cette semaine après la clôture de Elon Musk Prise de contrôle de 44 milliards de dollars.
TechCrunch a également alerté Beget des pages de phishing, qui ont ensuite retiré le domaine incriminé de l’opération. Un porte-parole de Twitter a refusé de commenter.
