مجرمان سایبری در حال حاضر با ارسال ایمیلهای فیشینگ که برای سرقت رمزهای عبور کاربران ناآگاه طراحی شدهاند، از آشفتگی در سیستم تأیید هویت فعلی توییتر سوءاستفاده میکنند.
آیتیمن- این کمپین ایمیل فیشینگ که توسط تیم تک کرانچ دیده شده است، تلاش میکند تا کاربران توییتر را فریب دهد تا نام کاربری و رمز عبور خود را در وبسایت مهاجم که تحت عنوان فرم راهنمای توییتر پنهان شده است، ارسال کنند.
ایمیل از یک حساب جیمیل ارسال میشود و به یک گوگل داک با پیوند دیگری به یک سایت گوگل پیوند میخورد که به کاربران اجازه میدهد محتوای وب را میزبانی کنند. این احتمالاً چندین لایه مبهم ایجاد میکند تا تشخیص سوءاستفاده با استفاده از ابزارهای اسکن خودکار برای گوگل دشوارتر شود؛ اما خود صفحه، حاوی یک قاب تعبیهشده از سایت دیگری است که در وبسایت روسی بگت (Beget) میزبانی میشود که همین امر برای به خطر افتادن حساب توییتر، رمز عبور و شماره تلفن کاربرانی که از احراز هویت دومرحلهای قویتر استفاده نمیکنند، کافی است. گوگل مدت کوتاهی پس از هشدار تک کرانچ به این شرکت، سایت فیشینگ را حذف کرد. یکی از سخنگویان گوگل به تک کرانچ گفته است که آنها پیوندها و حسابهای موردنظر را به دلیل نقض خطمشیهای برنامه خود، حذف کردهاند. این کمپین با ماهیتی خام، به نظر میرسد که احتمالاً به این دلیل که بهسرعت برای بهرهگیری از اخبار اخیر که توییتر بهزودی ماهانه از کاربران برای ویژگیهای ممتاز، ازجمله تأیید اعتبار و همچنین احتمال برداشتن نشانهای تأییدشده از کاربران توییتری که این حق عضویت را پرداخت نمیکنند، هزینه دریافت خواهد کرد، جمعآوری شده است. تا زمان نگارش این خبر، توییتر هنوز تصمیمیعمومی در مورد آینده برنامه راستی آزمایی خود که در سال 2009 برای تأیید صحت حسابهای کاربری خاص توییتر مانند شخصیتهای عمومی، سلبریتیها و دولتها آغاز شده بود، اتخاذ نکرده است؛ اما واضح است که از زمانی که این هفته پس از تصاحب ۴۴ میلیارد دلاری ایلان ماسک، این شرکت به انحصار او درآمد، نتوانسته است مانع مجرمان سایبری – که حتی افرادی با مهارت پایین را هدف قرار میدهند - از سوءاستفاده از فقدان اطلاعات واضح از توییتر شده باشد.
تک کرانچ همچنین به بگت راجع به صفحات فیشینگ هشدار داده است که بعداً منجر به این شد که دامنههای متخلف را از کار انداخت. سخنگوی توییتر دراینباره از اظهارنظر خودداری کرده است.