Les équipes de recherche de Proofpoint, société leader en cybersécurité et conformité, ont récemment constaté une augmentation importante des campagnes de phishing ciblant les utilisateurs certifiés sur Twitter et visant à usurper leurs identifiants de connexion.
Au cours des dernières semaines, plusieurs campagnes ont utilisé des leurres liés à la vérification Twitter ou au nouveau produit Twitter Blue, avec pour objet d’e-mail « Twitter blue badge Billing Statement Available ». Celles-ci utilisent à la fois Google Forms pour la collecte de données ainsi que des URL qui redirigent vers une infrastructure hébergée par des acteurs de la menace.
Ces campagnes ciblent généralement les médias et les entités de divertissement, y compris les journalistes et les utilisateurs qui semblent être vérifiés sur Twitter. Souvent, l’adresse e-mail correspond au pseudo Twitter utilisé et/ou l’e-mail est disponible dans la biographie Twitter de l’utilisateur.
Pour Sherrod DeGrippo, vice-président de la division Recherche et Détection des menaces chez Proofpoint :
« il n’est pas surprenant que les acteurs de la menace utilisent des leurres liés à Twitter. Les cybercriminels utilisent régulièrement des thèmes liés à l’actualité ou faits divers majeurs, une stratégie d’ingénierie sociale qui permet d’augmenter la probabilité que la personne ciblée ouvre l’e-mail et clique sur le lien frauduleux. »
Alors que Twitter est actuellement en phase de transformation, gagner l’accès aux comptes utilisateurs reste une activité toujours aussi lucrative. Par ailleurs, « les comptes Twitter légitimement vérifiés ont généralement un public plus large que l’utilisateur moyen ; la compromission de ces comptes est donc une opportunité pour les cybercriminels de diffuser massivement de la désinformation, mais aussi d’inciter les utilisateurs à faire confiance à d’autres contenus malveillants, comme des escroqueries à la cryptomonnaie (notamment la campagne “pig butchering” qui cible ses victimes sur les réseaux sociaux), et peut être utilisée pour poursuivre des campagnes de phishing visant d’autres utilisateurs » explique Sherrod DeGrippo.
Proofpoint avait déjà révélé les détails de campagnes de phishing menées par l’acteur APT TA482 s’attaquant aux journalistes et à l’industrie des médias sur Twitter. Cette activité est demeurée constante.
