최근, 위협행위자가 트위터 계정을 손상시키고 가짜 메시지를 전송하여 다른 인증된 사용자의 자격 증명을 훔치려고 시도하는 것으로 알려졌다. 특히 해당 계정이 연예인, 정치인, 언론인, 활동가, 정부 또는 민간 단체로 표시된 경우 트위터는 인증 전에 이를 확인하므로 인증을 받아야 한다. 파란색 “컬러 뱃지” 사용자는 인증을 신청하고 계정의 진위를 입증하는 증빙 서류를 제출해야 한다.

해당 피싱 사이트는 다른 피싱 사이트와 달리 사용자가  입력한 잘못된 비밀번호를 거부한다. 올바른 비밀번호를 입력하면 계정의 이메일 주소를 묻는 메시지가 표시되고 가짜 이메일 주소도 거부된다. 이는 피싱사이트가 트위터 API를 사용하여 유효한 계정 정보를 확인하고 있음을 나타낸다. 마지막으로 올바른 정보가 입력되면 피싱 페이지에 “확인이 완료되었습니다. 계정은 자동 시스템에 의해 인증되었습니다”라는 메시지가 표시된다.

[출처 : 해커뉴스 / 7.4.]