按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Twitter 宣布對認證帳號收費,各種釣魚攻擊伺機發動詐騙攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-11-11
  • 點閱次數:1480
Twitter 宣布對認證帳號收費,各種釣魚攻擊伺機發動詐騙攻擊 TWCERT/CC

隨著社群平台 Twitter 在日前由 Elon Musk 收購,並宣布要針對認證帳號收取每月 8 美元費用後,專業資安媒體 BleepingComputer 最近發現以此收費為由,針對已認證帳號持有人發動的釣魚攻擊,數量也大幅增加。

Twitter 在由 Tesla 執行長 Elon Musk 在日前完成全資收購後,Elon Musk 為改善 Twitter 財務狀況,宣布將對擁有官方身分認證(即俗稱「藍勾勾」)的使用者,加收每月 20 美元的費用,稍候又宣布降為每月 8 美元。

BleepingComupter 發現,在 Twitter 這一系列收費公告發表之後,以此為由針對已認證使用者的釣魚攻擊就大幅增加。

這一波針對 Twitter 身分認證使用者的釣魚攻擊,和其他名目的釣魚攻擊十分類似;被列為攻擊目標的 Twitter 身分認證使用者會收到假冒為 Twitter 官方的釣魚信件,內容指稱根據本平台的新身分認證措施,用戶必須在某個時限內點按信中的釣魚連結,重新進行身分認證,否則將撤銷其已通過認證的資格。

當用戶點按信中的釣魚連結後,會被導到一個幾可亂真的釣魚網頁,誘騙用戶輸入自己的 Twitter 登入資訊。

資安專家指出,不只是這波趁 Twitter 宣布收費為由的釣魚攻擊,事實上各社群平台的官方認證帳號,經常是各類釣魚攻擊的駭侵目標,因為擁有這種已認證帳號的用戶,多半屬於重要公部門、企業品牌、政治人物、演藝人員、新聞媒體、網紅等追蹤者較多,影響力較大的單位或個人;駭侵者透過釣魚攻擊取得帳號控制權後,就可以發動各種後續攻擊,例如散布假新聞或惡意軟體、進行金融詐騙等。

建議擁有社群平台官方帳號管理權限者,務必開啟多階段登入認證,並對各種號稱平台官方發送的 email、簡訊、貼文等提高警覺,絕不隨意點按不明連結,且不可將登入資訊隨意提供他人。

回頁首