La compra de Twitter por parte de Elon Musk está siendo utilizada por estafadores como un señuelo para robar las credenciales de inicio de sesión de personas «famosas o conocidas», o aquellas que creen encajar en la categoría.
Una nueva campaña de phishing se basa en el plan de Elon Musk para monetizar la marca de verificación azul de Twitter, un símbolo que se le da a las cuentas cuyas identidades (se abre en una pestaña nueva) han sido verificados y se utilizan para minimizar el fraude de suplantación de identidad que está muy extendido en la plataforma.
En el correo electrónico de phishing, se dice que la marca de verificación azul pronto costará $ 19.99, pero solo para aquellos que no son «famosos o conocidos». Aquellos que se ajusten a la categoría podrán usar la función de forma gratuita, todo lo que necesitan hacer es confirmar sus identidades.
Proporcionar a los ladrones información confidencial
Como es habitual con los correos electrónicos de phishing, este viene con un enlace «Proporcionar información», donde se redirige a las víctimas para verificar sus identidades. El sitio es un Documento de Google bajo una URL de Google Sites. La página de destino viene con un marco incrustado que en realidad está alojado en una plataforma de alojamiento rusa.
Toda la campaña es relativamente amateur y está llena de banderas rojas. El correo electrónico se envía desde una dirección de Gmail (twittercontactcenter), en lugar del dominio de Twitter, lo que podría decirse que es la mayor señal de alerta. Luego está el hecho de que la marca de verificación azul no costará $ 19.99, sino $ 8, como lo confirmó la plataforma. Por último, no hay absolutamente ninguna razón para que la función sea gratuita para personas famosas.
Otros indicadores comunes de los correos electrónicos de phishing son el omnipresente sentido de urgencia (los correos electrónicos de phishing siempre intentan asustar a las personas para que hagan algo imprudentemente), así como errores tipográficos, ortográficos y otros errores.
TechCrunch dice que Google eliminó el sitio de phishing poco después de que se le informara sobre su existencia.
Vía: 9To5Mac (se abre en una pestaña nueva)