Malwarebytesは7月6日(米国時間)、「Verified Twitter accounts phished via hate speech warnings|Malwarebytes Labs」において、認証済みのTwitterアカウントから偽の利用停止通知を送りつける新しいタイプのフィッシング詐欺が登場したと伝えた。サイバー犯罪者が他のTwitterアカウントを乗っ取るため、窃取済みの認証バッチ付きTwitterを悪用して偽の警告メッセージを送ってくるという。

  • Verified Twitter accounts phished via hate speech warnings|Malwarebytes Labs

    Verified Twitter accounts phished via hate speech warnings|Malwarebytes Labs

見つかったこのサイバー犯罪は公開投稿ではなく、ダイレクトメッセージで送られてくるとのこと。Twitterの公式から送られたように装い、認証プロセスを完了させないと48時間以内アカウントを一時停止させるという警告の文面になっているという。

偽のダイレクトメッセージには短縮URLが記載されており、リンク先からアカウントの認証プロセスを行うよう勧めてくる。リンク先はアカウント名、パスワード、アカウントにひもづけられた電子メールの窃取を目的とした偽のTwitterヘルプセンターとなっており、アカウントアイコンの取得やアカウントおよび電子メールの確認にTwitter APIが悪用されていることが判明している。さらに、被害者がフィッシング詐欺に気づくのを遅らせるため、アカウントが本物であることが証明されたという嘘の表示が最後にでることもわかっている。

MalwarebytesはSNS上で利用停止通知などの警告メッセージを受け取ったとしても、認証されているかどうかにかかわらず疑ってかかる必要があると警告。もし、そのようなメッセージを受け取った場合、まずは公式サイトにアクセスしてサポートに連絡するよう勧めている。