新一波釣魚攻擊，鎖定官方認證 Twitter 帳號

國外資安專業媒體發表專文指出，近來該媒體旗下多位記者與作者獲得 Twitter「官方認證」的帳號，都遭到釣魚信件攻擊；信件內容意圖誘騙帳號擁有者輸入登入資訊，進而竊得帳號控制權。

Twitter 的官方帳號認證，是針對知名人士、政治人物、記者、作家、明星、社會運動者、政府單位、知名品牌、中大型私人企業等追蹤者眾多，對社群用戶具有實質影響力的帳號而設計；Twitter 會審核該帳號擁有者的身分是否屬實，通過認證者會在其帳號顯示名稱旁邊，額外顯示一個藍色勾勾圖標，讓用戶清楚分辨帳號為真，也降低有心人另設帳號加以仿冒的風險。

由於官方認證過的帳號取得不易，又具有一定程度以上的公信力，且擁有眾多追蹤者，影響力宏大，因此成為歷來社群平台資安攻擊中的主要目標。一旦這類帳號遭竊，駭侵者就能進一步針對其龐大追蹤受眾發動大規模攻擊，例如散播假訊息或惡意連結，甚至進行金融詐騙攻擊。

該媒體指出，自上周起，該刊旗下多名擁有官方認證 Twitter 帳號的記者與作者，紛紛收到一封釣魚信件；信件內容指出其 Twitter 官方帳號認證發生問題，要求用戶點按信中連結檢查認證狀態，否則其帳號可能遭到停權。

用戶若點按該釣魚連結，就會連入一個非 Twitter.com 網域的釣魚網站，要求用戶輸入帳號與密碼，接著駭侵者會用取得的密碼，至 Twitter 進行密碼重置作業；如果用戶設有二階段登入驗證，Twitter 會以簡訊發送二階段驗證碼，假網站又會接著要求用戶輸入驗證碼，進而完全取得該帳號的控制權。

據報導指出，已有獲認證的記者因誤信透過私訊傳來的該釣魚連結，造成帳號被盜；竊盜者立即更改其個人簡介與頭像，並且透過該帳號的私訊來進一步發送釣魚訊息。

本文轉載自TWCERT/CC。