한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
X로 전환하는 동안 트위터 사용자를 표적으로 삼는 피싱 사기
홈 » Security Boulevard (원본) » X로 전환하는 동안 트위터 사용자를 대상으로 하는 피싱 사기
사이버 범죄자는 혼란 속에서 번성하므로 일부가 트위터를 X로 개편하려는 Elon Musk의 결정을 둘러싼 불안정한 상황을 이용하려고 하는 것은 놀라운 일이 아닙니다.
Twitter 사용자 @fluffypony가 처음 본 피싱 이메일은 Twitter Blue 사용자(4월까지 무료였던 파란색 확인 표시에 대해 한 달에 8달러를 지불할 의사가 있는 사용자)를 대상으로 하며 Twitter/X의 공식 메모라고 주장합니다. Twitter Blue 구독을 X로 마이그레이션합니다.
@fluffypony에 따르면 피싱 이메일은 x.com에서 발송되었으며 SPF(보안 정책 프레임워크) 검사를 통과했습니다. 심지어 메일링 목록용 플랫폼을 포함하는 CRM(고객 관계 관리) 회사인 Sendinblue에서 전송하고 서명하여 Gmail을 포함한 많은 스팸 필터를 통과할 수 있습니다.
Sendinblue는 5월에 Brevo로 이름이 변경되었습니다.
“twt[dot]blue에 있는 URL로 연결됩니다. 이 URL은 언뜻 보기에 유효한 트위터 도메인처럼 보일 수도 있지만 2023년 5월 16일에 에서 사용하는 레지스터와 매우 다른 레지스터(Tucows)에 등록되었습니다. Twitter.com과 X.com”이라고 트위터 사용자가 썼습니다.
@fluffypony의 스크린샷을 통해 메시지는 사용자에게 "Twitter Blue가 X를 통해 Stay Blue로 원활하게 전환됨에 따라 기존 구독이 거의 만료되어 마이그레이션이 필요합니다"라고 알려줍니다.
그런 다음 마이그레이션이 완료되지 않으면 사용자가 확인된 체크 표시를 잃어 다시 신청하고 다시 구독해야 할 위험이 있음을 경고합니다. 그러면 사용자에게 '전환'이라고 표시된 파란색 상자를 클릭하라는 메시지가 표시됩니다.
"이 링크는 (적법한) API 승인 화면으로 리디렉션됩니다. 이 화면에서는 공식 트위터 앱인 것처럼 보이는 앱을 승인하라는 메시지가 표시됩니다. 매우 은밀합니다!" @fluffypony가 씁니다. "인증 후 URL이 null/완전하므로 유효한 트위터 애플리케이션이 아닙니다."
앱을 승인하면 악의적인 행위자가 프로필 및 계정 설정에 대한 액세스 및 업데이트, 계정 팔로우 및 팔로우 취소를 포함하여 사용자의 트위터 계정에 대한 제어권을 갖게 됩니다. 사이버 범죄자는 계정에서 트윗을 보고, 게시하고, 삭제할 수 있습니다.
탈출구가 있습니다. 피싱 이메일에 속아 가짜 앱을 승인한 사용자는 트위터 설정 > 보안 및 계정 접근 > 앱 및 세션 > 연결된 앱에서 해당 앱에 대한 권한을 철회할 수 있습니다.
@fluffypony는 위협 행위자가 언급한 유일한 트위터 사용자가 아니었습니다. 또 다른 사용자는 자신을 속이려고 했으나 트위터 블루 체크 표시에 대한 비용을 지불하지 않았기 때문에 그것이 사기라는 것을 알고 있었다고 트위터에 썼습니다.
트위터도 문제를 인지하고 있습니다. 소셜 네트워크의 보안 엔지니어링 수석 이사인 Christopher Stanley는 @fluffypony에 대한 답장에서 "[우리가 노력하고 있습니다.]"라고 말했고, Brevo의 전달성 및 사기 방지 책임자인 Simon Bressier는 @fluffypony에게 계정을 종료할 수 있도록 이메일 헤더를 보냈습니다.
오래전부터 X를 회사 이름으로 사용하는 데 관심이 있었던 것으로 알려진 머스크와 CEO Linda Yaccarino가 상징적인 "트위터" 이름을 "X"로 이전하려는 추진은 많은 사람들을 놀라게 했습니다. 머스크는 소셜 네트워크를 포함하는 X라는 저녁 앱에 대한 비전을 가지고 있었는데, 이는 트위터를 인수하기 위해 440억 달러를 투자하기 전에도 논의한 내용입니다.
그러나 그 전환이 순조롭지는 않았습니다. 지난 주 샌프란시스코 당국은 회사가 시 공무원과 건물 소유주에게 계획을 알리지 않은 후 본사 건물에서 트위터 간판을 제거하는 것을 일시적으로 중단했습니다. 결국 작업을 계속할 수 있었습니다.
애플에도 문제가 있었다. 트위터는 지난주 트위터 iOS와 안드로이드 앱의 브랜드를 변경해 X 로고를 붙였습니다. 그러나 회사는 처음에 Apple App Store에서 앱 이름을 Twitter에서 X로 변경할 수 없었습니다. 개발자가 앱을 관리하는 데 사용하는 포털인 App Store Connect에서는 개발자가 앱 이름에 단일 문자를 사용하는 것을 허용하지 않습니다.