Peralihan Twitter ke x.com, hadiah bagi para penipu phishing

• Efek samping fitur modifikasi tautan di Twitter/X:

  • Mulai 9 April, Twitter/X mulai otomatis mengubah tautan yang menyebut "twitter.com" menjadi "x.com"
  • Namun dalam 48 jam terakhir, puluhan nama domain baru telah didaftarkan, yang menunjukkan bagaimana perubahan ini dapat dimanfaatkan
  • Sebagai contoh, fedetwitter[.]com hingga baru-baru ini ditampilkan sebagai fedex.com di tweet

• Contoh domain yang baru didaftarkan:

  • carfatwitter.com: ditampilkan sebagai carfax.com di Twitter/X
  • goodrtwitter.com (goodrx.com), neobutwitter.com (neobux.com), roblotwitter.com (roblox.com), square-enitwitter.com (square-enix.com), yandetwitter.com (yandex.com), dan lainnya
  • Saat domain-domain ini diakses, muncul pesan "Are you serious, X Corp?"
  • Ini tampaknya didaftarkan secara "defensif" oleh seorang pengguna Mastodon untuk mencegah penipu membelinya

• Pendaftaran domain defensif oleh pengguna Jepang:

  • netflitwitter.com (netflix.com) menampilkan nama pengguna Twitter/X bersama pesan bahwa domain itu "diperoleh untuk mencegah digunakan untuk tujuan jahat"
  • space-twitter.com tampaknya didaftarkan oleh pengguna bernama "amplest0e", dan bagi pengguna Twitter/X ditampilkan sebagai milik CEO, "space-x.com"
  • ametwitter.com sudah mengalihkan ke americanexpress.com yang asli

• Potensi risiko phishing:

  • Beberapa domain yang baru didaftarkan saat ini tidak terhubung dan catatan pendaftarannya tidak memuat informasi kontak yang berguna
  • Contohnya firefotwitter[.]com (firefox.com), ngintwitter[.]com (nginx.com), webetwitter[.]com (webex.com), dan lainnya
  • setwitter.com (ditampilkan sebagai sex.com) mengalihkan ke sebuah posting blog yang memperingatkan tentang perubahan terbaru ini dan potensi penggunaannya untuk phishing

• Pendapat para ahli:

  • Wakil Presiden DomainTools, Sean McNee, mengatakan tampaknya Twitter/X tidak membatasi upaya pengalihan ini dengan benar
  • Ia menunjukkan bahwa pelaku jahat dapat memanfaatkan peluang ini untuk mengalihkan trafik dari situs atau merek yang sah
  • Patut dicatat bahwa merek global populer lain seperti Rolex atau Linux juga ada dalam daftar domain yang didaftarkan

• Reaksi para pengguna:

  • Kekeliruan yang jelas ini memberi hiburan dan kejutan bagi banyak mantan pengguna yang telah pindah ke platform media sosial lain sejak CEO baru mengambil alih
  • Profesor Matthew Garrett dari UC Berkeley School of Information merangkum hal ini sebagai "bukan hal paling lucu yang bisa saya bayangkan, tetapi cukup mendekatinya"

Pendapat GN⁺

• Insiden ini menunjukkan perlunya pertimbangan yang hati-hati terhadap pendaftaran domain dan keamanan. Perubahan Twitter/X memperlihatkan bagaimana sesuatu dapat disalahgunakan tanpa sengaja
• Setiap perusahaan perlu lebih dulu mengamankan domain yang mirip dengan merek atau layanannya untuk mencegah penyalahgunaan jahat. Sebagian pengguna yang melakukannya lebih awal menunjukkan tindakan yang patut diapresiasi
• Namun, mengamankan domain secara defensif mungkin tidak mudah dilakukan oleh pengguna biasa. Tampaknya diperlukan respons di tingkat perusahaan
• Twitter/X perlu menyiapkan perbaikan teknis atas kesalahan ini. Generalisasi berlebihan terhadap pola domain tertentu tampaknya menjadi penyebab masalah
• Perusahaan media sosial juga perlu mempertimbangkan risiko keamanan saat melakukan perubahan demi meningkatkan kenyamanan pengguna. Perubahan tergesa-gesa tanpa peninjauan dan pengujian yang memadai bisa lebih banyak merugikan daripada menguntungkan