Twitter 宣布對認證帳號收費，各種釣魚攻擊伺機發動詐騙攻擊

隨著社群平台 Twitter 在日前由 Elon Musk 收購，並宣布要針對認證帳號收取每月 8 美元費用後，專業資安媒體 BleepingComputer 最近發現以此收費為由，針對已認證帳號持有人發動的釣魚攻擊，數量也大幅增加。

Twitter 在由 Tesla 執行長 Elon Musk 在日前完成全資收購後，Elon Musk 為改善 Twitter 財務狀況，宣布將對擁有官方身分認證（即俗稱「藍勾勾」）的使用者，加收每月 20 美元的費用，稍候又宣布降為每月 8 美元。

BleepingComupter 發現，在 Twitter 這一系列收費公告發表之後，以此為由針對已認證使用者的釣魚攻擊就大幅增加。

這一波針對 Twitter 身分認證使用者的釣魚攻擊，和其他名目的釣魚攻擊十分類似；被列為攻擊目標的 Twitter 身分認證使用者會收到假冒為 Twitter 官方的釣魚信件，內容指稱根據本平台的新身分認證措施，用戶必須在某個時限內點按信中的釣魚連結，重新進行身分認證，否則將撤銷其已通過認證的資格。

當用戶點按信中的釣魚連結後，會被導到一個幾可亂真的釣魚網頁，誘騙用戶輸入自己的 Twitter 登入資訊。

資安專家指出，不只是這波趁 Twitter 宣布收費為由的釣魚攻擊，事實上各社群平台的官方認證帳號，經常是各類釣魚攻擊的駭侵目標，因為擁有這種已認證帳號的用戶，多半屬於重要公部門、企業品牌、政治人物、演藝人員、新聞媒體、網紅等追蹤者較多，影響力較大的單位或個人；駭侵者透過釣魚攻擊取得帳號控制權後，就可以發動各種後續攻擊，例如散布假新聞或惡意軟體、進行金融詐騙等。

建議擁有社群平台官方帳號管理權限者，務必開啟多階段登入認證，並對各種號稱平台官方發送的 email、簡訊、貼文等提高警覺，絕不隨意點按不明連結，且不可將登入資訊隨意提供他人。

本文轉載自TWCERT/CC。