يستخدم المتسللون الشهادات المدفوعة لاختراق المستخدمين

يستفيد مجرمو الإنترنت بالفعل من فوضى التحقق المستمرة في تويتر من خلال إرسال رسائل بريد إلكتروني تصيدية مصممة لسرقة كلمات مرور المستخدمين غير المتعمدين.

تحاول حملة البريد الإلكتروني للتصيد الاحتيالي هذه، إغراء مستخدمي Twitter بنشر اسم المستخدم وكلمة المرور الخاصة بهم على موقع الويب الخاص بالمهاجم المتخفي في شكل نموذج مساعدة Twitter.

يتم إرسال البريد الإلكتروني من حساب Gmail، مع روابط إلى مستند Google مع رابط آخر إلى موقع Google، والذي يتيح للمستخدمين استضافة محتوى الويب. من المحتمل أن يؤدي هذا إلى إنشاء عدة طبقات من التشويش لزيادة صعوبة اكتشاف Google لإساءة استخدام أدوات المسح التلقائي الخاصة بها. لكن الصفحة نفسها تحتوي على إطار مضمن من موقع آخر، يتم استضافته على مضيف الويب الروسي Beget، والذي يطلب اسم المستخدم على Twitter وكلمة المرور ورقم الهاتف - وهو ما يكفي لتسوية الحسابات التي لا تستخدم مصادقة ثنائية أقوى.


أزالت Google موقع التصيد الاحتيالي بعد وقت قصير من تنبيه موقع TechCrunch للشركة.




from موضوع جديد لك https://ift.tt/ZyHunc9