Saat Twitter mengumumkan rencana untuk membebankan biaya $8 per bulan kepada pengguna untuk Twitter Blue dan verifikasi akun di bawah manajemen Elon Musk, BleepingComputer telah menemukan beberapa email phishing yang menargetkan pengguna terverifikasi.
Perombakan model bisnis Twitter menarik scammers
Awal pekan ini, Elon Musk menunjuk dirinya sebagai CEO Twitter dan mengumumkan rencana untuk mengubah Proses verifikasi Twitter. Sebagai bagian dari tinjauan ini, Twitter awalnya mengusulkan untuk mulai membebankan biaya bulanan $20 kepada pengguna yang diverifikasi. Kemudian, Musk menyatakan biayanya adalah turun menjadi $8.
Selain menerima centang biru setelah verifikasi berhasil, pengguna berbayar diharapkan mendapatkan “prioritas dalam balasan, sebutan & pencarian”, lebih sedikit iklan, dan akan dapat memposting konten multimedia yang lebih panjang:
Anda juga akan mendapatkan:
– Prioritas dalam balasan, sebutan & pencarian, yang penting untuk mengalahkan spam/scam
– Kemampuan untuk memposting video & audio panjang
– Setengah lebih banyak iklan— Elon Musk (@elonmusk) 1 November 2022
Mengikuti tweet Musk, BleepingComputer mengamati kampanye phishing baru yang muncul dengan aktor ancaman yang sekarang menargetkan akun terverifikasi.
Seperti banyak email phishing, email ini menyampaikan rasa urgensi yang salah, mendesak pengguna untuk masuk ke akun Twitter mereka atau berisiko “penangguhan”.
Analisis oleh BleepingComputer mengungkapkan email-email ini berasal dari server situs web dan blog yang diretas yang mungkin, misalnya, menghosting versi WordPress yang sudah ketinggalan zaman atau menjalankan plugin yang tidak ditambal dan rentan.
Mengklik tautan membawa pengguna ke halaman web phishing di mana aktor ancaman menyalahgunakan pengumuman biaya bulanan $8 dari tweet Musk:
Alur kerja phishing mengumpulkan nama pengguna, kata sandi Twitter pengguna, dan melanjutkan untuk mengirimi mereka kode autentikasi dua faktor melalui SMS.
Pesan phishing yang lebih meyakinkan juga diterima dan dianalisis oleh BleepingComputer ditunjukkan di bawah ini:
Email ini menggabungkan kata-kata yang identik dengan halaman phishing itu sendiri dan memiliki tampilan dan nuansa keseluruhan yang lebih mirip dengan branding Twitter.
Verifikasi Twitter: melampaui kesombongan
Lencana biru Twitter dengan tanda centang secara tradisional ditawarkan ke akun terverifikasi politisi, selebriti, bisnis, tokoh masyarakat, influencer, organisasi berita, dan jurnalis.
Kelangkaan akun lencana biru di platform, dibandingkan dengan sebagian besar akun Twitter yang tidak diverifikasi, telah menyebabkan “centang biru” dianggap oleh para tweeter sebagai simbol kesombongan dan status.
Aktor ancaman juga memiliki berulang kali menargetkan pengguna terverifikasi melalui phishing, dan terkadang meretas akun lencana biru ke mendorong penipuan kripto.
Dalam penipuan lain, pelaku ancaman telah meretas akun terverifikasi untuk menyamar sebagai orang lain untuk menyesatkan publik atau untuk kirim DM palsu ‘penangguhan akun’ pengguna Twitter.
Musk memiliki tidak setuju proses verifikasi yang ada sebagai “sistem tuan dan tani Twitter saat ini.”
Namun, selain sebagai persepsi “simbol status” yang dirasakan oleh beberapa orang, lencana biru terutama dimaksudkan untuk memisahkan akun asli dan otentik dari orang-orang terkenal dari akun peniru dan parodi yang dibuat oleh pihak ketiga—setidaknya secara teori.
Oleh karena itu verifikasi dimaksudkan untuk membatasi informasi yang salah dalam arti bahwa pengguna dapat melihat tweet yang berasal dari akun terverifikasi adalah asli dan tidak berasal dari seseorang yang menyamar sebagai figur publik.
Namun, dalam praktiknya, hasil dapat bervariasi karena akun ‘terverifikasi’ yang diretas dapat terus mempertahankan lencana biru meskipun peretas mengubah nama, bio, dan gambar profil di dalamnya, sehingga membuat keberadaan lencana menjadi sia-sia sejak awal.
Jika lencana biru menjadi komoditas dan tersedia bagi siapa saja yang bersedia mengeluarkan $8 per bulan, Twitter perlu memikirkan kembali prosesnya untuk menambahkan keaslian ke akun terkenal.
Salah satu cara untuk mencapainya adalah, misalnya, melanjutkan penggunaan label khusus di akun Twitter politisi dan entitas yang berafiliasi dengan negarayang kemudian menciptakan beberapa perbedaan antara akun otentik figur publik dan mereka yang memiliki lencana biru berbayar.
Tanpa proses verifikasi yang disederhanakan yang secara jelas memisahkan akun-akun terkenal yang autentik dari para penipu, masalah bidang verifikasi Twitter yang ada tidak akan hilang dalam waktu dekat.
