首页 > 钓鱼技巧 > 黑坑技巧

认证账户被黑,威胁行为者借名人推特发送钓鱼信息

黑坑技巧钓友圈2023-07-04 03:23:03A+A-

近期,威胁行为者正入侵Twitter认证帐户,他们通过发送精心编造的虚假暂停消息来试图窃取其他经过认证的用户凭据。大家应该了解认证账户的特殊性,尤其是账户标注为某名人、政治家、记者、活动家、政府或私人组织,在获得认证前Twitter就会对其进行验证,所以要获得经过验证的“蓝色徽章”,用户必须申请验证并提交证明文件,以说明他们的帐户的真实性。

由于获得蓝色徽章并不容易,这类账户就容易获得人们的信任,所以这类账户就理当成了威胁行为者的主要入侵目标。上周五,BleepingComputer 的记者Sergiu Gatlan就在Twitter DM收到了一封网络钓鱼诈骗,该钓鱼邮件称他的帐户因传播仇恨言论而被暂停:“您的帐户已被我们的自动化系统标记为不真实和不安全,传播仇恨言论违反了我们的服务条款。twitter非常重视平台的安全性,如果你没有完成身份验证过程,我们会在48小时内暂停你的帐户。”

为了测试网络钓鱼诈骗,Sergiu Gatlan访问了DM中的tinyurl.com地址,该地址将他重定向到https://twitter-safeguard-protection[.]info/appeal/。这个网站首先要求一个Twitter用户名,当进入测试账户时,它使用后端的Twitter API来检索测试账户的照片,如下所示。显示合法图片增加了网络钓鱼诈骗的合法性。

和其他网络钓鱼不同,这个网络钓鱼网站拒绝用户输入的错误密码。在输入正确密码后,它会提示输入帐户的电子邮件地址,并且假的电子邮件地址也会被拒绝,这个行为表明网络钓鱼网站正在使用 Twitter API 来检查有效的帐户信息。最后,一旦输入了正确的信息,钓鱼页面就会显示一条消息,“真实性检查已完成,您的帐户已被我们的自动系统证明是真实的”。

此时Sergiu Gatlan发现他的测试帐户的凭据已被盗,他立即将其重置为另一个帐户。但其他人可能不会意识到他们的凭据被盗,并且会发现他们在当天晚些时候或第二天已经无法再登录到他们的帐户。

这些诈骗信息会由被黑客入侵认证账户,再发送给其他还未被入侵的认证账户,并且使用的钓鱼诈骗手法一致。很多用户,包括认证用户在Twitter上发布他们遭受网络钓鱼攻击的情况并不少见。但威胁行为者也在继续改进他们的入侵策略,使他们的攻击看起来合法,他们还会在钓鱼时增加了一种紧迫感,这导致人们会忽视一些可疑迹象。

因此,当你收到一条消息,将你引导至他们要求您提供凭据的站点,请务必花时间分析它是否存在奇怪的域名、异常的拼写错误和语法错误。为安全起见,请仅在twitter.com上使用您的Twitter凭据登录,切勿在任何其他网站上登录。

点击这里复制本文地址 以上内容由趣钓网整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

相关内容

模板文件不存在: ./template/plugins/comment/pc/index.htm

Copyright © 2012-2024 趣钓网 版权所有

钓鱼比赛视频 | 高手钓鱼视频 | 海钓视频 | 台钓视频 | XML地图 | HTML地图

qrcode
返回顶部
X趣钓网

截屏,微信识别二维码

微信号:

(点击微信号复制,添加好友)

  打开微信

微信号已复制,请打开微信添加咨询详情!