Il problema del phishing di Twitter è un effetto collaterale della funzionalità di verifica a pagamento che Elon Musk intende introdurre. I criminali informatici stanno già sfruttando le continue difficoltà di autenticazione di Twitter inviando e-mail di phishing volte a rubare le credenziali di utenti ignari.
La campagna e-mail di phishing cerca di indurre gli utenti di Twitter a inserire i propri nomi utente e password sul sito Web di un utente malintenzionato camuffato da modulo di assistenza Twitter.
L’e-mail viene inviata da un account Gmail e include un collegamento a un documento Google e un altro a un sito Google, che consente agli utenti di ospitare contenuti online. È probabile che ciò si traduca in numerosi livelli di offuscamento, rendendo più difficile per gli algoritmi di scansione automatizzata di Google rilevare l’uso improprio.
Tuttavia, il sito Web ha un frame incorporato da un altro sito, ospitato sull’host web russo Beget, che richiede l’indirizzo Twitter, la password e il numero di telefono dell’utente, sufficienti per compromettere gli account che non utilizzano un’autenticazione a due fattori più forte.
Il sito di phishing di Twitter è stato rimosso
Google ha rimosso rapidamente il sito fraudolento quando è stato contattato. “Confermando che abbiamo rimosso i link e gli account in questione per violazioni delle nostre norme del programma”, ha detto un funzionario di Google.
La pubblicità sembra sciatta, molto probabilmente perché è stata messa insieme frettolosamente per trarre vantaggio dai recenti rapporti secondo cui Twitter potrebbe presto addebitare agli utenti mensilmente funzionalità premium come la verifica, nonché la prospettiva dichiarata di rimuovere i badge verificati dagli utenti Twitter che non pagano.
Twitter deve ancora prendere una decisione pubblica in merito al futuro del suo programma di verifica, introdotto nel 2009 per convalidare la legittimità di account Twitter specifici, come personaggi pubblici, celebrità e governi.
Ma ciò non ha impedito agli hacker, anche a quelli con livelli di abilità inferiori, di sfruttare la mancanza di informazioni chiare di Twitter da quando è diventato privato la scorsa settimana in seguito alla chiusura dell’acquisizione da 44 miliardi di dollari di Elon Musk.
Il sito di phishing viene segnalato anche a Beget e il dominio problematico è stato infine rimosso dal servizio. Un rappresentante di Twitter ha rifiutato di commentare.
Non so come i cambiamenti di Elon Musk, come il ritorno di Vine, influenzeranno l’azienda in futuro, ma sono sicuro che sono felice di vedere che non è più una parte politica e autoritaria Ing-Soc di un sito di propaganda.
Cos’altro sta succedendo a Twitter?
Secondo i rapporti, Musk intende ridurre drasticamente l’occupazione di Twitter, da circa 7.000 dipendenti a 2.500, una riduzione del 75%. Il miliardario ha riconosciuto di “pagare chiaramente in eccesso” per il colosso dei social media durante l’ultima chiamata sugli utili di Tesla, ma ha aggiunto che il potenziale a lungo termine dell’azienda era “ordine di grandezza maggiore” di quanto non fosse nel suo stato attuale. Vuole anche fare il piattaforma migliore di TikTok.
Musk ha ribadito il suo desiderio in un post su Twitter che la piattaforma di social media adotti un approccio diverso alla moderazione e al filtraggio dei contenuti, sebbene non abbia ancora risposto alla storia più recente.
Twitter dovrebbe essere il più inclusivo possibile, agendo come un’arena equa per un discorso vigoroso, anche se occasionalmente acceso, tra punti di vista drasticamente diversi. E Musk ha risposto con l’emoji “100” quando un appassionato di Dogecoin ha chiesto se poteva semplicemente rendere la piattaforma più divertente.
Abbiamo spiegato perché Twitter addebita la verifica e la relazione Twitter Blue. Elon Musk, che ora possiede Twitter, ha emesso il suo primo ultimatum al suo staff: rispettare la scadenza per stabilire la verifica a pagamento su Twitter o chiudere. Nei mesi precedenti la sua acquisizione, Musk ha chiarito che intendeva cambiare il modo in cui Twitter convalida gli account e gestisce i bot. Domenica, ha twittato: “L’intero processo di verifica è stato rinnovato in questo momento”.
Source: Attacchi di phishing su Twitter: effetti collaterali imprevisti della commissione di verifica