Los ciberdelincuentes ya están aprovechando el caos de verificación en curso de Twitter mediante el envío de correos electrónicos de phishing diseñados para robar las contraseñas de usuarios involuntarios.
La campaña de correo electrónico de phishing, visto por TechCrunchintenta atraer a los usuarios de Twitter para que publiquen su nombre de usuario y contraseña en el sitio web de un atacante disfrazado como un formulario de ayuda de Twitter.
El correo electrónico se envía desde una cuenta de Gmail, y se vincula a un documento de Google con otro vínculo a un sitio de Google, lo que permite a los usuarios alojar contenido web. Es probable que esto cree varias capas de ofuscación para que a Google le resulte más difícil detectar abusos utilizando sus herramientas de escaneo automático. Pero la página en sí contiene un marco incrustado de otro sitio, alojado en un servidor web ruso Beget, que solicita el nombre de usuario, la contraseña y el número de teléfono de Twitter del usuario, lo suficiente como para comprometer las cuentas que no usan una autenticación de dos factores más fuerte.
Google eliminó el sitio de phishing poco tiempo después de que TechCrunch alertara a la empresa. Un portavoz de Google le dijo a TechCrunch: «Confirmando que hemos eliminado los enlaces y las cuentas en cuestión por violaciones de las políticas de nuestro programa».
Una captura de pantalla del correo electrónico de phishing diseñado para robar las credenciales de los usuarios de Twitter. Créditos de imagen: TechCrunch.
La campaña parece de naturaleza tosca, probablemente porque se elaboró rápidamente para aprovechar las noticias recientes de que Twitter pronto cobrará a los usuarios mensualmente por funciones premium, incluida la verificación, así como la posibilidad informada de quitar las insignias verificadas de los usuarios de Twitter que no pagues
Al momento de escribir este artículo, Twitter aún debe tomar una decisión pública sobre el futuro de su programa de verificación, que se lanzó en 2009 para confirmar la autenticidad de ciertas cuentas de Twitter, como las de figuras públicas, celebridades y gobiernos. Pero claramente no ha impedido que los ciberdelincuentes, incluso en el extremo menos calificado, se aprovechen de la falta de información clara de Twitter desde que se volvió privado esta semana luego del cierre de la adquisición de $ 44 mil millones de Elon Musk.
TechCrunch también alertó a Beget sobre las páginas de phishing, que luego sacaron del funcionamiento al dominio infractor. Un portavoz de Twitter se negó a comentar.