'Lộn xộn' xác minh của Twitter đang trở thành vấn đề đối với an ninh mạng

Tội phạm mạng đã tận dụng sự hỗn loạn xác minh đang diễn ra trên Twitter bằng cách gửi email lừa đảo được thiết kế để đánh cắp mật khẩu của người dùng vô tình

Chiến dịch email lừa đảo, được TechCrunch nhìn thấy, cố gắng dụ người dùng Twitter đăng tên người dùng và mật khẩu của họ trên trang web của kẻ tấn công được ngụy trang dưới dạng biểu mẫu trợ giúp của Twitter

Email được gửi từ tài khoản Gmail và liên kết tới Google Tài liệu với một liên kết khác tới Google Site, cho phép người dùng lưu trữ nội dung web. Điều này có khả năng tạo ra một số lớp che giấu để khiến Google khó phát hiện hành vi lạm dụng hơn bằng các công cụ quét tự động của mình. Nhưng bản thân trang này chứa một khung được nhúng từ một trang web khác, được lưu trữ trên máy chủ lưu trữ web Beget của Nga, yêu cầu tên người dùng, mật khẩu và số điện thoại Twitter của người dùng — đủ để xâm phạm các tài khoản không sử dụng xác thực hai yếu tố mạnh hơn

Google đã gỡ bỏ trang web lừa đảo một thời gian ngắn sau khi TechCrunch cảnh báo công ty. Người phát ngôn của Google nói với TechCrunch. “Xác nhận rằng chúng tôi đã gỡ bỏ các liên kết và tài khoản được đề cập do vi phạm chính sách chương trình của chúng tôi. ”

Ảnh chụp màn hình email lừa đảo được thiết kế để đánh cắp thông tin đăng nhập của người dùng Twitter. Tín dụng hình ảnh. TechCrunch

Về bản chất, chiến dịch này có vẻ thô thiển, có thể là do nó đã nhanh chóng được kết hợp với nhau để tận dụng lợi thế của những tin tức gần đây rằng Twitter sẽ sớm tính phí người dùng hàng tháng cho các tính năng cao cấp, bao gồm xác minh, cũng như khả năng lấy đi các huy hiệu đã được xác minh của người dùng Twitter được báo cáo.

Tính đến thời điểm viết bài, Twitter vẫn chưa đưa ra quyết định công khai về tương lai của chương trình xác minh của mình, chương trình được ra mắt vào năm 2009 để xác nhận tính xác thực của một số tài khoản Twitter, chẳng hạn như nhân vật của công chúng, người nổi tiếng và chính phủ. Nhưng rõ ràng nó đã không ngăn được tội phạm mạng - ngay cả ở cấp độ thấp hơn - lợi dụng việc thiếu thông tin rõ ràng từ Twitter kể từ khi nó chuyển sang chế độ riêng tư vào tuần này sau khi kết thúc thương vụ mua lại trị giá 44 tỷ đô la của Elon Musk

TechCrunch cũng đã cảnh báo Beget về các trang lừa đảo, trang này sau đó đã rút tên miền vi phạm khỏi hoạt động. Người phát ngôn của Twitter từ chối bình luận

Tội phạm mạng đã tận dụng sự hỗn loạn xác minh đang diễn ra trên Twitter bằng cách gửi email lừa đảo được thiết kế để đánh cắp mật khẩu của người dùng vô tình

Chiến dịch email lừa đảo, được TechCrunch nhìn thấy, cố gắng dụ người dùng Twitter đăng tên người dùng và mật khẩu của họ trên trang web của kẻ tấn công được ngụy trang dưới dạng biểu mẫu trợ giúp của Twitter

Email được gửi từ tài khoản Gmail và liên kết tới Google Tài liệu với một liên kết khác tới Google Site, cho phép người dùng lưu trữ nội dung web. Điều này có khả năng tạo ra một số lớp che giấu để khiến Google khó phát hiện hành vi lạm dụng hơn bằng các công cụ quét tự động của mình. Nhưng bản thân trang này chứa một khung được nhúng từ một trang web khác, được lưu trữ trên máy chủ lưu trữ web Beget của Nga, yêu cầu tên người dùng, mật khẩu và số điện thoại Twitter của người dùng, đủ để xâm phạm các tài khoản không sử dụng xác thực hai yếu tố mạnh hơn

Google đã gỡ bỏ trang web lừa đảo một thời gian ngắn sau khi TechCrunch cảnh báo công ty. Người phát ngôn của Google nói với TechCrunch. “Xác nhận rằng chúng tôi đã gỡ bỏ các liên kết và tài khoản được đề cập do vi phạm chính sách chương trình của chúng tôi. ”

Về bản chất, chiến dịch này có vẻ thô thiển, có thể là do nó đã nhanh chóng được kết hợp với nhau để tận dụng lợi thế của những tin tức gần đây rằng Twitter sẽ sớm tính phí người dùng hàng tháng cho các tính năng cao cấp, bao gồm xác minh, cũng như khả năng lấy đi các huy hiệu đã được xác minh của người dùng Twitter được báo cáo.

11. 9. CẬP NHẬT NĂM 2022. Giám đốc sản phẩm Twitter, Esther Crawford, đã thông báo rằng mặc dù huy hiệu xác minh truyền thống sẽ trở thành một tính năng với ưu đãi cao cấp của nền tảng, Twitter Blue, nhưng họ đang giới thiệu huy hiệu “Chính thức” màu xám với quy trình xác minh riêng. Crawford lưu ý rằng “Không phải tất cả các tài khoản đã được xác minh trước đó sẽ nhận được nhãn 'Chính thức' và nhãn này không có sẵn để mua. ” Khi thông tin chi tiết được tiết lộ, chúng tôi sẽ tiếp tục đánh giá các chính sách từ góc độ rủi ro an ninh mạng và sẽ cung cấp thông tin cập nhật khi thông tin chi tiết được tiết lộ

Nếu bạn đã theo dõi tin tức trên Twitter kể từ khi Elon Musk tiếp quản, thì có lẽ bạn đã thấy nó đầy rẫy những tranh cãi, với những cơn bão Twitter mới nhất xoay quanh chính sách đang phát triển để nhận hoặc giữ huy hiệu xác minh (thường được gọi không chính xác là dấu kiểm màu xanh lam) . Nếu bạn không quen thuộc, huy hiệu xác minh đáng thèm muốn của Twitter giúp xác định tài khoản hợp pháp của những người nổi tiếng, nhà báo, chính trị gia, nhân vật và thương hiệu nổi tiếng. Tóm lại, họ xây dựng niềm tin. Các huy hiệu này giúp cả hai tài khoản cấu hình cao xác thực họ thực sự là họ và giúp người dùng tìm thấy các tài khoản được xác thực mà họ tìm kiếm

Twitter công bố chính sách xác minh mới

Vào ngày 1 tháng 11, Elon Musk đã công bố một thay đổi lớn đối với hệ thống xác minh Twitter. Khác với hiện tại, để nhận hoặc giữ huy hiệu xác minh, người dùng phải đăng ký Twitter Blue với giá $8/tháng. Mặc dù Twitter chưa công bố nhiều thông tin chi tiết về sự thay đổi chính sách này, nhưng phản hồi trực tuyến đã nhanh chóng. Quyết định này chỉ là một trong một số thay đổi được đề xuất kể từ khi quyền sở hữu đổi chủ. Vẫn chưa có phán quyết về việc những thay đổi này sẽ tác động như thế nào đến nền tảng và người dùng của nó. Tuy nhiên, cho đến khi chúng tôi biết thêm về việc triển khai và kết quả đang chờ xử lý, thay đổi chính sách xác minh cụ thể này có thể có ý nghĩa bảo mật mà các doanh nghiệp nên đánh giá ngay bây giờ

Chính sách xác minh trả phí có thể kích hoạt đối thủ

Thương mại hóa huy hiệu xác minh nghe có vẻ tốt, nhưng nó cũng đưa ra một số thách thức. Các tiêu chí xác minh hiện tại yêu cầu tài khoản phải “xác thực, đáng chú ý và đang hoạt động. ” Các thương hiệu, doanh nghiệp và cá nhân phải chứng minh họ là người mà họ tuyên bố là và sử dụng nền tảng theo các quy tắc của nó. Nếu các yêu cầu này được thu nhỏ lại và thay thế bằng mô hình đăng ký, thì không rõ Twitter sẽ duy trì tính toàn vẹn của huy hiệu xác thực như thế nào.  

Sau thông báo, một số tài khoản người nổi tiếng đã được xác minh đã bắt chước các tài khoản nổi tiếng khác để minh họa những thách thức tiềm ẩn đối với các thương hiệu và cá nhân nếu chính sách xác minh chuyển hướng khỏi xác thực. Sau đó, Musk đã đề xuất lệnh cấm vĩnh viễn đối với các tài khoản mạo danh không tự nhận mình là người bắt chước, đình chỉ một số tài khoản mà không cần cảnh báo. Mặc dù về bản chất, các chính sách này dường như mang tính phản ứng và được thiết kế để cân bằng giữa việc tạo doanh thu với các tính năng phổ biến của nền tảng, nhưng chỉ các cuộc trò chuyện xung quanh những thay đổi này đã gây ra các vụ lừa đảo chiếm đoạt tài khoản huy hiệu xác minh

Khi thực hiện, chúng ta có thể thấy một số vấn đề phát sinh. Các doanh nghiệp và cá nhân có thể không muốn đăng ký Twitter Blue và có thể phải cạnh tranh không ngừng với những kẻ giả mạo và lừa đảo. Những kẻ đe dọa có thể nắm bắt cơ hội để xác minh các tài khoản mạng xã hội lừa đảo giả dạng các thương hiệu nổi tiếng, giám đốc điều hành doanh nghiệp, quan chức nhà nước, nhà báo – bạn có thể đặt tên cho nó. Thực tế là phương tiện truyền thông xã hội đã tạo ra quyền truy cập vô song vào tài sản thương hiệu, thông tin và các cá nhân nổi tiếng. Hiện đã có một rào cản thấp đối với tội phạm mạng đang tìm cách mạo danh các thương hiệu đã có tên tuổi. Các doanh nghiệp có thể hoạt động an toàn trên các nền tảng truyền thông xã hội, tự tin rằng thương hiệu của họ được bảo vệ. Chính sách mới này có thể làm suy yếu mục đích đã thiết lập của huy hiệu xác minh, làm trầm trọng thêm vấn đề mạo danh được ghi chép đầy đủ đã phổ biến trên tất cả các nền tảng truyền thông xã hội

Khi quan ngại phát sinh, hãy thận trọng

Kể từ khi xuất bản bài đăng này, thay đổi chính sách được thúc đẩy chưa có hiệu lực. Chúng ta có thể suy đoán về những hậu quả sẽ xảy ra, nhưng cho đến khi có thêm thông tin về xác minh Twitter, các doanh nghiệp sẽ được hưởng lợi từ việc chuẩn bị cho sự gia tăng của những kẻ giả mạo và lừa đảo trên mạng xã hội.  

Nếu thương hiệu, giám đốc điều hành hoặc nhân viên cấp cao của bạn đang hoạt động trên Twitter, dù đã được xác minh hay chưa, bạn có thể thực hiện các bước để giảm thiểu rủi ro lừa đảo mạo danh trên mạng xã hội. Dưới đây là một số mẹo để xem xét khi chúng tôi báo cáo về các bản cập nhật có liên quan khi chúng xuất hiện.  

Tại sao mọi người mất xác minh trên Twitter?

Tại sao yêu cầu xác minh của tôi bị Twitter từ chối?

Điểm xác minh twitter là gì?

Twitter vẫn đang xác minh tài khoản chứ?