Twitter’s verification chaos is now a security problem
Twitterの認証の混乱は、今やセキュリティの問題でもある
要約(英語):
a phishing email sent from a Google account disguised as a Twitter help form has been seen by TechCrunch. The email, sent from a Gmail account, contains an embedded frame from another site, hosted on a Russian web host, which asks for the user’s Twitter handle, password and phone number. The email is sent from a Google Doc with links to a Google Site, which lets users host web content. Google took down the phishing site after TechCrunch alerted the company.
要約(日本語):
Twitterヘルプフォームに偽装されたGoogleアカウントから送信されたフィッシングメールがTechCrunchによって見られました。Gmailアカウントから送信された電子メールには、ロシアのWebホストでホストされている別のサイトからの組み込みフレームが含まれており、ユーザーのTwitterハンドル、パスワード、電話番号を要求しています。電子メールは、Googleサイトへのリンクを備えたGoogleドキュメントから送信されます。これにより、ユーザーはWebコンテンツをホストできます。Googleは、TechCrunchが会社に警告した後、フィッシングサイトを倒しました。
本文:
Cybercriminals are already capitalizing on Twitter’s ongoing verification chaos by sending phishing emails designed to steal the passwords of unwitting users.
サイバー犯罪者は、無意識のユーザーのパスワードを盗むために設計されたフィッシングメールを送信することにより、Twitterの継続的な検証カオスをすでに活用しています。
The phishing email campaign, seen by TechCrunch, attempts to lure Twitter users into posting their username and password on an attacker’s website disguised as a Twitter help form.
TechCrunchが見たフィッシングメールキャンペーンは、TwitterユーザーをTwitterヘルプフォームに偽装した攻撃者のWebサイトにユーザー名とパスワードを投稿するように誘導しようとしています。
The email is sent from a Gmail account, abd links to a Google Doc with another link to a Google Site, which lets users host web content. This is likely to create several layers of obfuscation to make it more difficult for Google to detect abuse using its automatic scanning tools. But the page itself contains an embedded frame from another site, hosted on a Russian web host Beget, which asks for the user’s Twitter handle, password and phone number — enough to compromise accounts that don’t use stronger two-factor authentication.
このメールはGmailアカウントから送信され、ABDはGoogleドキュメントにリンクし、Googleサイトへの別のリンクがあり、ユーザーがWebコンテンツをホストできるようにします。これにより、いくつかの層が作成され、Googleが自動スキャンツールを使用して悪用を検出することがより困難になります。しかし、ページ自体には、ロシアのWebホストBegetでホストされている別のサイトの埋め込みフレームが含まれています。これは、ユーザーのTwitterハンドル、パスワード、電話番号を要求します。
Google took down the phishing site a short time after TechCrunch alerted the company. A Google spokesperson told TechCrunch: “Confirming we have taken down the links and accounts in question for violations of our program policies.” A screenshot of the phishing email designed to steal Twitter users’ credentials. Image Credits: TechCrunch.
Googleは、TechCrunchが会社に警告してからしばらくしてフィッシングサイトを倒しました。Googleの広報担当者は、TechCrunchに次のように語っています。Twitterユーザーの資格情報を盗むために設計されたフィッシングメールのスクリーンショット。画像クレジット:TechCrunch。
The campaign appears crude in nature, likely because it was quickly put together to take advantage of the recent news that Twitter will soon charge users monthly for premium features, including verification, as well as the reported possibility of taking away verified badges of Twitter users who don’t pay.
キャンペーンは本質的に粗野に表示されます。これは、Twitterが検証を含むプレミアム機能に対して毎月ユーザーを請求するという最近のニュースを利用するためにすぐにまとめられたため、Twitterユーザーの検証済みのバッジを奪う可能性があるという最近のニュースを利用するためにすぐにまとめられたためです。支払わないでください。
As of the time of writing, Twitter has yet to make a public decision about the future of its verification program, which launched in 2009 to confirm the authenticity of certain Twitter accounts, such as public figures, celebrities and governments. But it clearly hasn’t stopped cybercriminals — even on the lower-skilled end — from taking advantage of the lack of clear information from Twitter since it went private this week following the close of Elon Musk’s $44 billion takeover.
執筆時点で、Twitterは、公人、有名人、政府などの特定のTwitterアカウントの信頼性を確認するために2009年に開始された検証プログラムの将来についてまだ公的な決定を下していません。しかし、Elon Muskの440億ドルの買収の終わりに続いて今週プライベートになって以来、Twitterからの明確な情報の不足を利用することは、サイバー犯罪者を止めていませんでした。
TechCrunch also alerted Beget to the phishing pages, but did not immediately hear back. A spokesperson for Twitter did not immediately respond to a request for comment.
TechCrunchはまた、フィッシングのページにBegetに警告しましたが、すぐに返事をしませんでした。Twitterのスポークスマンは、コメントのリクエストにすぐに応答しませんでした。
Elon Musk’s plan to charge for Twitter verification will be a misinformation nightmare
Twitterの確認を請求するElon Muskの計画は、誤った情報の悪夢になります
