Cyberkriminelle nutzen bereits das anhaltende Überprüfungschaos von Twitter, indem sie Phishing-E-Mails versenden, die darauf abzielen, die Passwörter von unwissenden Benutzern zu stehlen.
Die Phishing-E-Mail-Kampagne, von Tech gesehenversucht Twitter-Benutzer dazu zu verleiten, ihren Benutzernamen und ihr Passwort auf der als Twitter-Hilfeformular getarnten Website eines Angreifers zu posten.
Die E-Mail wird von einem Gmail-Konto gesendet und enthält Links zu einem Google-Dokument mit einem weiteren Link zu einer Google-Site, über die Benutzer Webinhalte hosten können. Dadurch werden wahrscheinlich mehrere Verschleierungsebenen geschaffen, die es Google erschweren, Missbrauch mit seinen automatischen Scan-Tools zu erkennen. Die Seite selbst enthält jedoch einen eingebetteten Frame von einer anderen Website, die auf einem russischen Webhoster Beget gehostet wird und nach dem Twitter-Handle, dem Passwort und der Telefonnummer des Benutzers fragt – genug, um Konten zu kompromittieren, die keine stärkere Zwei-Faktor-Authentifizierung verwenden.
Google hat die Phishing-Site kurz nachdem Tech das Unternehmen gewarnt hatte, vom Netz genommen. Ein Google-Sprecher sagte gegenüber Tech: „Bestätigung, dass wir die fraglichen Links und Konten wegen Verstößen gegen unsere Programmrichtlinien entfernt haben.“
Ein Screenshot der Phishing-E-Mail, mit der die Anmeldeinformationen von Twitter-Benutzern gestohlen werden sollen. Bildnachweis: Tech.
Die Kampagne scheint grober Natur zu sein, wahrscheinlich weil sie schnell zusammengestellt wurde, um die jüngsten Nachrichten zu nutzen, dass Twitter den Benutzern bald monatliche Gebühren für Premium-Funktionen, einschließlich der Verifizierung, sowie die gemeldete Möglichkeit, verifizierte Abzeichen von Twitter-Benutzern zu entziehen, zahlen wird nicht zahlen.
Zum Zeitpunkt des Verfassens dieses Artikels muss Twitter noch eine öffentliche Entscheidung über die Zukunft seines Verifizierungsprogramms treffen, das 2009 gestartet wurde, um die Authentizität bestimmter Twitter-Konten wie Persönlichkeiten des öffentlichen Lebens, Prominente und Regierungen zu bestätigen. Aber es hat Cyberkriminelle – selbst die weniger qualifizierten – eindeutig nicht davon abgehalten, den Mangel an klaren Informationen von Twitter auszunutzen, seit es diese Woche nach dem Abschluss der 44-Milliarden-Dollar-Übernahme von Elon Musk privat wurde.
Tech machte Beget auch auf die Phishing-Seiten aufmerksam, die später die anstößige Domain außer Betrieb setzten. Ein Twitter-Sprecher lehnte eine Stellungnahme ab.