X への切り替え中、Twitter ユーザーをターゲットにしたフィッシング詐欺
ホーム » Security Boulevard (原文) » Xへの切り替え中、Twitterユーザーを標的としたフィッシング詐欺
サイバー犯罪者は混乱の中で繁栄するため、Twitter を X に作り変えるというイーロン・マスク氏の決定をめぐる不安定な状況を利用しようとする者が出てくるのも不思議ではありません。
Twitter ユーザー @fluffypony が最初に発見したこのフィッシングメールは、Twitter/X からの公式メモを装い、Twitter Blue ユーザー (4 月までは無料だった青色の認証チェックマークに月額 8 ドルを支払う意思のあるユーザー) を狙ったもので、次のように呼びかけています。 Twitter Blue サブスクリプションを X に移行するよう依頼します。
@fluffypony によると、このフィッシングメールは x.com から送信されており、セキュリティ ポリシー フレームワーク (SPF) チェックに合格しています。 さらに、メーリング リストのプラットフォームを含む顧客関係管理 (CRM) 会社である Sendinblue から送信され、署名されているため、Gmail のスパム フィルターを含む多くのスパム フィルターを通過することができます。
5月にSendinblueはBrevoに改名されました。
「これは twt[dot]blue にある URL にリンクしており、一見すると有効な Twitter ドメインのように見えますが、2023 年 5 月 16 日に、Twitter が使用するレジスターとはまったく異なるレジスター (Tucows) に登録されました。 Twitter.comとX.com」とTwitterユーザーは書いた。
@fluffypony のスクリーンショットを介して、メッセージはユーザーに「Twitter Blue は X で Stay Blue にシームレスに変換されるため、既存のサブスクリプションの有効期限が近づいており、移行が必要です」と伝えています。
次に、移行が完了しない場合、ユーザーは認証済みのチェックマークを失う危険があり、再申請して再購読する必要があると警告します。 次に、ユーザーは「トランジション」というラベルの付いた青いボックスをクリックするように求められます。
「このリンクは(正規の)API 認証画面にリダイレクトされ、公式 Twitter アプリのように見えるアプリの認証を求められます。非常に卑劣です。」 @fluffypony が書きます。 「承認後の URL はヌル/完全なので、明らかに有効な Twitter アプリケーションではありません。」
アプリを承認すると、攻撃者はユーザーの Twitter アカウントを制御できるようになり、プロフィールやアカウント設定へのアクセスや更新、アカウントのフォローやフォロー解除などが可能になります。 サイバー犯罪者は、アカウントのツイートを閲覧、投稿、削除できます。
抜け出す方法はあります。 フィッシングメールに騙され、偽のアプリを許可したユーザーは、[Twitter 設定] > [セキュリティとアカウント アクセス] > [アプリとセッション] > [接続されているアプリ] に移動し、そのアプリに対するアプリの許可を取り消すことができます。
攻撃者によって売り込まれた Twitter ユーザーは @fluffypony だけではありませんでした。 別のユーザーはツイッターに、自分をだまそうとしたと書き込んだが、ツイッターの青いチェックマークの代金を支払っていないため、詐欺だと分かっていたという。
ツイッター社はこの問題を認識している。 ソーシャルネットワークのセキュリティエンジニアリング担当シニアディレクターであるクリストファー・スタンレー氏は@fluffyponyへの返信で「我々は取り組んでいる」と述べ、Brevoの配信性および不正行為対策責任者であるサイモン・ブレシエ氏は@fluffyponyにこの件について質問した。電子メールのヘッダーを削除してアカウントを停止できるようにしました。
Xを社名に使用することに長い間興味を持っていたとされるマスク氏とCEOのリンダ・ヤッカリーノ氏による、象徴的な「Twitter」の名前を「X」に移行するという推進は、多くの人々を驚かせた。 マスク氏はソーシャルネットワークを組み込んだ「X」として知られる夕食アプリについてのビジョンを持っており、ツイッター買収に440億ドルをつぎ込む前からそのことについて話し合っていた。
ただし、移行はスムーズではありませんでした。 サンフランシスコ当局は先週、同社が本社ビルのツイッターの看板を撤去する計画について市当局とビルの所有者に通知しなかったため、一時的に停止させた。 最終的には作業を継続できるようになりました。
Appleとの間にも問題があった。 Twitterは先週、TwitterのiOSアプリとAndroidアプリのブランド名を変更し、Xロゴを付けた。 しかし、同社は当初、Apple App Store でアプリの名前を Twitter から X に変更できませんでした。 開発者がアプリを管理するために使用するポータルである App Store Connect では、開発者がアプリ名に 1 文字を使用することを許可していません。