Twitter新老板马斯克(Elon Musk)稍早才贴文宣布,Twitter用户若是想保留账号后面的“蓝勾勾”,那么就得每月支付8美元来订阅Twitter Blue,他也强调,Twitter Blue的价格会随着每个国家/地区的购买力来调整。只是马斯克的新政策,却意外成为另一波安全问题。
据《TechCrunch》报道,网络犯罪份子看准了现在Twitter的验证之乱,通过发送钓鱼邮件的方式,来骗取一些不知情的用户账号密码。这些钓鱼邮件伪装成Twitter官方发送的验证信件,要求用户必需要点取信件内所附上的连接,并在该连接中输入自己的账号密码。
Twitter’s current lords & peasants system for who has or doesn’t have a blue checkmark is bullshit.
Power to the people! Blue for $8/month.
— Elon Musk (@elonmusk)November 1, 2022
但实际上这封钓鱼邮件是由一个Gmail账号所发送,其中包含了一个导向Google文件的连接,以及导向某个Google站点的另外一个连接,这个站点允许用户托管其网页内容。
钓鱼邮件的流窜,使得Twitter验证之乱又乱上加乱;因为有心人通过Gmail发送Google站点连接的方式,实际上很难让Google扫描到其附加的内容有疑虑(因为都是Google的工具)。
值得注意的是钓鱼邮件中所提供的连接页面还包含了来自另一个站点的嵌入框架,该站点托管在俄罗斯的网络主机Beget上,这个框架要求用户输入自己的Twitter handle、密码,以及电话号码等私人资讯;这样的方式将足以威胁到那些不使用双因素身份验证的账号。
不过就在《TechCrunch》提出示警后,Google官方现在已经关闭了钓鱼邮件的连接网页,并也删除了这个钓鱼Gmail账号。
(首图来源:Unsplash)