| 27 июля 2023 г. — 13:32 PT
Резкий ребрендинг Twitter в букву X вызывает у многих пользователей замешательство относительно направления развития платформы. Это открывает возможности для киберпреступников, которые сейчас используют хаос, создавая одни из самых хитрых фишинговых писем, которые я когда-либо видел…
Обновление: Brevo (ранее известная как Sendinblue) заблокировала учетную запись рассылки, использовавшуюся злоумышленниками. Кроме того, инженер безопасности Twitter подтвердил, что они работают над устранением фейковой учетной записи API.
Для справки: фишинговые письма — это поддельные сообщения, которые могут выглядеть так, будто они отправлены из доверенного источника, но на самом деле отправлены злоумышленниками. Они предназначены для того, чтобы заставить людей раскрыть конфиденциальную информацию или загрузить вредоносное программное обеспечение на компьютер жертвы. По сути, это большая часть вашей папки со спамом.
Как впервые отметил @fluffypony в Twitter, новая волна хитроумных фишинговых писем от x.com нацелена на пользователей Twitter Blue, предлагая им перенести свою текущую подписку Blue на подписку X. Тема письма: «Сохраните свой статус. Перейдите плавно». Хотя у этого есть все признаки законного письма, это не так.
«Самый очевидный признак вредоносного письма — отправитель. В данном случае оно выглядит так, будто отправлено с sale@x.com, но если присмотреться, оно было отправлено «через sendinblue.com». В этом и заключается хитрость.
Киберпреступники использовали популярную платформу CRM и рассылок с встроенной функцией выделения названия компании жирным шрифтом с последующим указанием «через sendinblue.com». Цель состоит в том, чтобы потенциальная жертва прочитала выделенный текст и не обратила на него внимания.
CRM также позволяет фишинговому письму проходить через большинство спам-фильтров.
Итак, что именно делает ссылка?
Ссылка ведет на URL, размещенный в домене, который, по-видимому, не связан с Twitter или X. После этого она «перенаправляет вас на (легитимный) экран авторизации API, который просит вас авторизовать приложение, выглядящее как официальное приложение Twitter», — отмечает @fluffypony.
Нажатие «Авторизовать приложение» даст злоумышленникам почти полный контроль над вашей учетной записью Twitter. Включая возможность публиковать твиты, обновлять ваш профиль и настройки учетной записи, и многое другое. В конечном итоге это может привести к полной краже вашей учетной записи.
Понятно, что киберпреступники по-прежнему видят ценность в подтвержденных учетных записях и в людях и компаниях, которым они могут принадлежать. Это вполне может быть случай, когда злоумышленник вытесняет кого-то из его учетной записи, чтобы затем перепродать ее другой стороне.
Что я могу сделать, если я авторизовал его?
Если вы стали жертвой этого фишингового письма или чего-то подобного, немедленно выполните следующие шаги, чтобы обезопасить свою учетную запись:
- Перейдите в настройки Twitter -> Безопасность и доступ к учетной записи -> Приложения и сеансы -> Подключенные приложения -> и отзовите разрешения приложения для фейкового приложения Twitter или любых других, которые вы не узнаете.
- Далее измените свой пароль в Twitter и включите двухфакторную аутентификацию (по возможности не через SMS, OTP — лучший вариант).