【藍剔之亂】Twitter 認證收費引騙徒落手　發釣魚電郵騙密碼

Tesla創辦人 Elon Musk 完成收購社交媒體Twitter後即時大舉改革，包括解僱公司管理層、計劃削減 Twitter 一半人手，近日更延伸到用戶認證制度，透過 Twitter 宣布會向藍剔徽章用戶收取每月 8 美金的費用。Elon Musk 此舉引來 Twitter 用戶熱烈討論外，更吸引了騙徒乘機利用 Twitter 藍剔認證之亂，向用戶發出網絡釣魚電郵。

Twitter 藍剔徽章認證一向深受歡迎，因為比例少、關注度高，令不少用戶都想擁有。然而近日許多 Twitter 用戶聲稱收到電郵，包括外國媒體 TechCrunch 及 NBC 新聞的記者，電郵內容表示用戶需要提供資料確認身份，以繼續免費獲得藍剔徽章認證。

根據報道截圖，電郵內提供「Provide Information」按鈕及「Help Center」連結。當用戶點擊該按鈕後會打開一個 Google Doc，內裡的連結指向另一個 Google 網站。該網站設計與 Twitter 協助的頁面相當類似，但其實包含另一個由俄羅斯網絡托管供應商 Beget 托管的嵌入式框架。來到這步，頁面會要求用戶提供 Twitter 用戶名稱、密碼及電話號碼。如果不慎誤信電郵輸入資料，黑客或能毋須通過雙重因素驗證，即可入侵帳戶。

雖然這封電郵像真度似乎很高，但只要細心一看，便能發現該電郵是由 Gmail 帳戶 twittercontactcenter[at]gmail.com 發送的。經記者揭發事件後，Google 已關閉了網絡釣魚網站及刪除該釣魚 Gmail 賬號，避免做成不必要損失。

「這些類型的社交工程釣魚電郵非常有成效，因為他們利用人的情感並立即採取行動。」反釣魚電郵公司 SlashNext 的 CEO Patrick Harry 說道。網絡黑客擅於利用動蕩的局勢謀取私利，特別是具有新聞價值的時事，在今次 Twitter 藍剔徽章認證事件上亦可見一斑。黑客的目標明顯是想保留藍剔徽章認證、又不想付費的用戶，他們對時事的快速應對，亦是令用戶容易墮入騙局的原因之一。

有專家再次告誡用戶，必須以審慎態度打開電子郵件、使用多因素身份驗證（MFA）以保護賬戶，而且在沒有驗證的情況下，切勿在網站上輕易提供個人資料。

資料來源：https://www.darkreading.com/cloud/musk-twitter-verification-payment-cyberattackers?&web_view=true

相關文章：【wepro 小教室】多因素身份驗證