Việc chuyển đổi của Twitter sang x.com là món quà cho những kẻ lừa đảo phishing

 (krebsonsecurity.com)
6 điểm bởi GN⁺ 2024-04-11 | 4 bình luận | Chia sẻ qua WhatsApp

  • Tác dụng phụ của tính năng chỉnh sửa liên kết trên Twitter/X:

    • Từ ngày 9 tháng 4, Twitter/X bắt đầu tự động sửa các liên kết có nhắc đến "twitter.com" thành "x.com"
    • Nhưng trong 48 giờ gần đây, hàng chục tên miền mới đã được đăng ký, cho thấy thay đổi này có thể bị lợi dụng như thế nào
    • Ví dụ, fedetwitter[.]com cho đến gần đây vẫn được hiển thị là fedex.com trong tweet

  • Ví dụ về các tên miền mới được đăng ký:

    • carfatwitter.com: được hiển thị là carfax.com trên Twitter/X
    • goodrtwitter.com (goodrx.com), neobutwitter.com (neobux.com), roblotwitter.com (roblox.com), square-enitwitter.com (square-enix.com), yandetwitter.com (yandex.com), v.v.
    • Khi truy cập các tên miền này sẽ hiện thông điệp "Are you serious, X Corp?"
    • Có vẻ đây là các tên miền được một người dùng Mastodon đăng ký theo kiểu "phòng thủ" để ngăn kẻ lừa đảo mua chúng

  • Đăng ký tên miền phòng thủ bởi người dùng Nhật Bản:

    • netflitwitter.com (netflix.com) hiển thị tên người dùng Twitter/X cùng thông điệp "đã được mua để ngăn bị sử dụng cho mục đích xấu"
    • space-twitter.com dường như được đăng ký bởi người dùng "amplest0e", và với người dùng Twitter/X thì nó được hiển thị thành "space-x.com" của CEO
    • ametwitter.com hiện đã chuyển hướng đến americanexpress.com thật

  • Rủi ro phishing tiềm ẩn:

    • Một số tên miền mới đăng ký hiện chưa được kết nối và trong hồ sơ đăng ký cũng không có thông tin liên hệ hữu ích
    • Ví dụ như firefotwitter[.]com (firefox.com), ngintwitter[.]com (nginx.com), webetwitter[.]com (webex.com), v.v.
    • setwitter.com (được hiển thị là sex.com) chuyển hướng đến một bài blog cảnh báo về thay đổi gần đây và khả năng bị dùng cho phishing

  • Ý kiến chuyên gia:

    • Phó chủ tịch Sean McNee của DomainTools cho biết Twitter/X dường như đã không giới hạn đúng cách nỗ lực chuyển hướng này
    • Ông chỉ ra rằng các tác nhân độc hại có thể lợi dụng cơ hội này để chuyển hướng lưu lượng khỏi các trang hay thương hiệu hợp pháp
    • Cũng đáng chú ý là những thương hiệu nổi tiếng toàn cầu khác như Rolex hay Linux cũng nằm trong danh sách các tên miền đã được đăng ký

  • Phản ứng của người dùng:

    • Sai lầm quá rõ ràng này đã mang lại sự thích thú và ngạc nhiên cho nhiều người dùng cũ đã chuyển sang các nền tảng mạng xã hội khác sau khi CEO mới tiếp quản
    • Giáo sư Matthew Garrett của Trường Thông tin UC Berkeley đã tóm tắt rằng đây là "không phải điều buồn cười nhất tôi có thể tưởng tượng ra, nhưng cũng rất gần rồi"

Ý kiến của GN⁺

  • Vụ việc này cho thấy cần cân nhắc thận trọng về đăng ký tên miền và bảo mật. Nó cho thấy thay đổi của Twitter/X có thể vô tình bị lạm dụng
  • Mỗi công ty cần chủ động sở hữu trước các tên miền tương tự với thương hiệu hoặc dịch vụ của mình để ngăn hành vi mạo danh ác ý. Việc một số người dùng làm điều này từ sớm là hành động tích cực
  • Tuy vậy, việc đăng ký tên miền phòng thủ có thể không dễ với người dùng phổ thông. Có vẻ cần có phản ứng ở cấp doanh nghiệp
  • Twitter/X sẽ cần đưa ra biện pháp kỹ thuật để khắc phục sai lầm này. Có vẻ nguyên nhân là do khái quát hóa quá mức với một số mẫu tên miền nhất định
  • Các công ty mạng xã hội cũng cần cân nhắc rủi ro bảo mật khi thực hiện các thay đổi nhằm cải thiện sự tiện lợi cho người dùng. Những thay đổi vội vàng, thiếu rà soát và thử nghiệm đầy đủ có thể hại nhiều hơn lợi

Bài viết liên quan

4 bình luận

 
dodok8 2024-04-11

Thậm chí còn có câu nói rằng Twitter giờ đã bị chia thành những người vẫn dùng Twitter và những người theo Elon Musk dùng X. Tôi nghĩ việc đổi thương hiệu này đã thất bại hoàn toàn.
 
kuroneko 2024-04-11

REPLACE(content, 'twitter.com', 'x.com')....

Thật đáng kinh ngạc. Thật sự....
 
xguru 2024-04-11

Ha.. mấy vụ liên quan đến Twitter đúng là khiến người ta phải nghĩ sao mà có thể ngớ ngẩn đến thế..
 
GN⁺ 2024-04-11
Ý kiến trên Hacker News
  • Sự ngán ngẩm trước việc quy trình QA và kiểm thử đã bị lược bỏ trong quá trình đổi thương hiệu của Twitter
    • Thương hiệu cũ vốn đã tốt và mục đích kinh doanh của việc đổi thương hiệu này không rõ ràng
    • Người dùng hiện tại vẫn sẽ tiếp tục nhận thức nó là Twitter
    • Tương tự hành vi của PM trong phần mềm khi chỉ đơn giản muốn "để lại dấu ấn"
  • Có ý kiến cho rằng bản thân ý tưởng đổi thương hiệu này đã rất nực cười, mang kiểu tiếp cận như trong năm 1984
  • Chỉ ra rằng nếu từng xử lý biểu thức chính quy thì đây là kiểu sai lầm mà ngay cả người mới bắt đầu cũng khó mắc phải
  • Đặt câu hỏi về quá trình mà một thay đổi UX nhạy cảm như vậy có thể đi từ ý tưởng của thực tập sinh đến production
    • Có ý kiến cho rằng người phụ trách phải nhận thức được rủi ro và trải qua quy trình kiểm toán cũng như phê duyệt
  • Tiếc nuối cho chú chim xanh và sự biến mất của động từ "tweet"
  • Chia sẻ trải nghiệm đã đóng tài khoản Twitter sau khi Elon Musk thâu tóm
    • Điều đó có ích cho sức khỏe tinh thần và họ cũng không thấy nhớ Twitter đến thế
    • Nếu đang cân nhắc đóng tài khoản, đây có thể là dịp tốt để mạnh dạn thử
  • Phản ứng cho rằng thật đáng ngạc nhiên khi biểu thức chính quy sai của ai đó lại có thể trở thành mô hình kinh doanh
  • Chia sẻ kết quả thử nghiệm: đã đăng carfatwitter.com lên Twitter nhưng nó không chuyển hướng sang carfax.com
    • Bài viết nói rằng ametwitter.com sẽ chuyển hướng sang americanexpress.com, nhưng thực tế không phải vậy