twitter钓鱼事件复盘

twitter现已修复了这个截断漏洞，似乎还有方式绕过，原因应该是内部在做twitter.com向x.com全面过渡，体系复杂出现疏漏导致。

发现原因是像twitter这种信息量很大价值也很大的站点的各种监测下，上周发现在DomainTools.com 的搜索显示，至少有60个域名被注册为以“twitter.com”结尾的域名，这些域名中的大多数都是由私人“防御性”注册的，以防止这些域名被恶意攻击者用于钓鱼类购买。

漏洞具体情况：

以yandextwitter.com为例，当域名发布在用户消息或推文中时，Twitter/X 会将其截断为显示 yandex.com。访问则会正常跳转到yandextwitter.com，导致了这次大规模的钓鱼事件出现。

有些作为示警调侃类利用页面，比如fedetwitter.com，截断显示访问的是fede.com，访问页面会显示如下：

 其它发现信息：

其他新注册的域（包括 goodrtwitter.com （goodrx.com）、neobutwitter.com （neobux.com）、roblotwitter.com （roblox.com）、square-enitwitter.com （square-enix.com） 和 yandetwitter.com （yandex.com） 在这些域上留下的信息表明，它们是由 Mastodon 上的一个用户做为防御性保护注册的，该用户信息说他是系统管理员/工程师。不过真实性还没有得到验证。

包括“twitter.com”在内的许多新域名似乎是由f日本的 Twitter/X 用户防御性注册的。域名 netflitwitter.com（netflix.com，对 Twitter/X 用户）现在显示一条消息，称它“是为了防止将其用于恶意目的而获取的”，以及一个 Twitter/X 用户名。

域名 fedetwitter.com 将用户重定向到某日本技术爱好者的博客。用户名为“amplest0e”的用户似乎已经注册了 space-twitter.com，Twitter/X用户会将其视为CEO的“space-x.com”。域“ametwitter.com”已重定向到实际 americanexpress.com。

还有一些最近注册并以“twitter.com”结尾的域名目前无法解析，并且在其注册记录中不包含有用的联系信息。其中包括 firefotwitter[.]com （firefox.com）， ngintwitter[.]com （nginx.com） 和 webetwitter[.]com （webex.com）。

原文始发于微信公众号（军机故阁）：twitter钓鱼事件复盘