Penjahat dunia maya telah memanfaatkan kekacauan verifikasi Twitter yang sedang berlangsung dengan mengirimkan email phishing yang dirancang untuk mencuri kata sandi pengguna tanpa disadari.

Kampanye email phishing, dilihat oleh TechCrunchupaya untuk memikat pengguna Twitter agar memposting nama pengguna dan kata sandi mereka di situs web penyerang yang disamarkan sebagai formulir bantuan Twitter.

Email dikirim dari akun Gmail, dan tautan ke Google Doc dengan tautan lain ke Situs Google, yang memungkinkan pengguna menghosting konten web. Ini kemungkinan akan membuat beberapa lapisan kebingungan untuk mempersulit Google mendeteksi penyalahgunaan menggunakan alat pemindaian otomatisnya. Tetapi halaman itu sendiri berisi bingkai yang disematkan dari situs lain, dihosting di host web Rusia Beget, yang meminta pegangan Twitter, kata sandi, dan nomor telepon pengguna — cukup untuk mengkompromikan akun yang tidak menggunakan otentikasi dua faktor yang lebih kuat.

Google menghapus situs phishing tidak lama setelah TechCrunch memberi tahu perusahaan. Seorang juru bicara Google memberi tahu TechCrunch: “Mengonfirmasi bahwa kami telah menghapus tautan dan akun yang dipermasalahkan karena melanggar kebijakan program kami.”

Tangkapan layar email phishing yang dirancang untuk mencuri kredensial pengguna Twitter. Kredit Gambar: TechCrunch.

Kampanye tersebut tampak kasar, kemungkinan karena dengan cepat disatukan untuk memanfaatkan berita terbaru bahwa Twitter akan segera membebankan biaya bulanan kepada pengguna untuk fitur premium, termasuk verifikasi, serta kemungkinan yang dilaporkan untuk menghilangkan lencana terverifikasi dari pengguna Twitter yang jangan bayar.

Sampai saat penulisan, Twitter belum membuat keputusan publik tentang masa depan program verifikasinya, yang diluncurkan pada tahun 2009 untuk mengonfirmasi keaslian akun Twitter tertentu, seperti tokoh masyarakat, selebritas, dan pemerintah. Tapi itu jelas tidak menghentikan penjahat dunia maya – bahkan di ujung yang berketerampilan rendah – untuk memanfaatkan kurangnya informasi yang jelas dari Twitter sejak menjadi pribadi minggu ini setelah penutupan pengambilalihan Elon Musk senilai $ 44 miliar.

TechCrunch juga memberi tahu Beget ke halaman phishing, yang kemudian menarik domain yang menyinggung dari operasi. Seorang juru bicara Twitter menolak berkomentar..