钓鱼新招：使用Twitter URL来发起诈骗或传播虚假新闻

Twitter为推文创建网址的方式可能会用作恶意用途，可能会用于运行虚假信息广告活动，传播恶意软件或诱骗用户登陆恶意网页。

我们在访问推文时在浏览器地址栏中看到的是一个包含用户名和推文状态ID的URL，该ID由一长串数字字符定义。

但是，用户名与Twitter上的推文是完全无关。只需要tweet-status-id。

例如，我创建了一个带特朗普twitter名的URL将显示相同的推文，因为它们包含相同的推文状态ID，在本例中为1139546704816902145

https://www.twitter.com/realDonaldTrump/status/1139546704816902145

经过测试跳转之后，还是原来的推文。

类似如下

而如果一条连接中带有名人信息，就很容易被人误以为是名人发的话，从而点进去查看。（换成是我只有谁在群里发了一条，带有特朗普的链接，如上所示，我必点。）

而需要注意的是，这个技巧在移动设备上更加强大，其中重定向被完全隐藏，因为推文是在Twitter客户端中打开的。

而我在看到这个技巧之后，第一反应就是，将头像资料，都改了，然后按照名人的样子全部copy上去，id再改的像一点，加个下划线什么的，再找一些人帮忙转发点赞，刷个分，十几二十天之后，宣称自己什么发钱啊，裸照啊，反正离不开黄赌毒这种东西的东西。

然后就开始广撒网，发链接。

想想都很开心呢

事实上，老外也是这么想的，他把美国NSA给替了。。

而在APP端的表现，除了ID外，基本看不出问题。

对于ID的伪造学问，一般有几点研究。

黑鸟总结之后，一句话概括：

用好下划线，走遍天下都不怕。

配合上twitter可以随意修改用户名和账户名，可出奇效。

这也不难解释，为何近日，Twitter宣布删除了近5000个为国家支持的活动注册的假账户。这些为国家进行虚假新闻宣传的账户，已经产生了超过3000万条推文并发布了超过1TB的媒体文件。

可见这种手段如果再被应用传播，后果不堪设想。

但是从历年来看，这个问题一而再再而三被提出，但是twitter都没有修改的份上，估计还有深层原因？

不想也罢，谈到社交媒体影响力，下面这篇文章还不错，明天次条翻译一下，老铁们也可以提前看看。

https://www.recordedfuture.com/fishwrap-influence-operation/

看完下面这条，然后，祝大家周末愉快~

在5G时代，物联网将会是一个必火课题，万物互联也必将走向千家万户，而安全变成了这个时代的基石。

下面介绍一家如今大热的物联网安全公司，御风维安。

这句话：夫列子御风而行， 泠然善也。

对于我一个文职来说，实在是帅到不行。

就是这么一家前景极好的公司，在湖南湘潭，大力招聘高级攻防从业人员啦！

工作时间：每周一至周六，早9点-晚7点，午休1.5小时

工作地点：湖南湘潭

福利待遇：

独栋别墅办公；

提供午餐、晚餐、日常零食（可品尝到由各种小姐姐制作的不同风格精美菜肴）；

在CNPW、Defcon等网络安全会议中参与组织、演讲，站在安全圈技术前沿；

五险一金+项目奖金+生日福利+年终奖金；

节日团建+公司内部健身设备；

优秀成员将拥有更多期权、股权资格。

 

岗位：高级攻防工程师

月薪：11K-25K

岗位职责

1、研究、跟进最新最前沿的安全技术。

2、负责对公司的项目业务进行高级攻防与漏洞挖掘，参与公司红蓝攻防演练项目。

3、探究新的漏洞挖掘方向、手法。

 

岗位要求

1、熟悉高级攻防与漏洞挖掘的步骤、方向和流程，能够独自、熟练运用各种手段对目标系统实施有效的渗透并撰写高级攻防报告；

2、熟悉常见网络安全攻击和防御办法，熟悉Web安全与主机安全；

3、熟悉PHP/JSP/ASP/Python/JavaScript/C++/Ruby中的任意两种编程语言；

4、一年以上工作经验（如拥有内推资格，可忽略该项）；

5、本科及以上学历（如拥有内推资格，可忽略该项）；

 

岗位：高级攻防专家

月薪：21K-35K

岗位职责

1.研究、跟进最新最前沿的安全技术。

2.负责对公司的项目业务进行高级攻防与漏洞挖掘，参与公司红蓝攻防演练项目。

3.探究新的漏洞挖掘方向、手法。

 

岗位要求

1、熟悉高级攻防与漏洞挖掘的步骤、方向和流程，能够独自、熟练运用各种手段对目标系统实施有效的渗透并撰写高级攻防报告；

2、熟悉常见网络安全攻击和防御办法，熟悉Web安全、主机安全、内网高级攻防技术；

3、拥有代码审计与绕过WAF能力；

4、熟悉PHP/JSP/ASP/JavaScript中的任意两种编程语言，

熟悉Python/C++/Java/Ruby中的至少一种编程语言，且曾自主研发过高级攻防类工具（不包括EXP、PoC）；

5、两年以上工作经验（如拥有内推资格，可忽略该项）；

6、本科及以上学历（如拥有内推资格，可忽略该项）；

 

优先条件：

曾在乌云、Wind Punish安全团队、各企业安全应急响应中心（SRC）、CNVD、补天漏洞响应平台等提交过漏洞的优先，曾在Seebug等平台提交过检测脚本/插件的优先；

曾在FreeBuf、i春秋等平台发布课程或发表精华技术文章的优先；

曾在各类安全沙龙、安全会议上发表演讲的优先；

曾在CTF竞赛中取得优异成绩的优先；

曾参与过大型高级攻防项目的优先；

需要请投递简历到 wangyin@windsec.net.cn

或者联系我本人微信，将大哥微信推送给你。

替大哥说一声：期待你们的加入！

给大哥转个发支持支持吧