7月20日,慢雾余弦披露新型钓鱼攻击手法:攻击者伪造"New login to X From XXX"主题邮件,利用X平台用户账号异常登录通知诱导点击"Change your password"或"Review the apps"链接。该攻击可绕过Gmail垃圾邮件过滤系统,将用户引导至X官方第三方应用授权页面,一旦完成授权,攻击者即可在用户不知情情况下获取推文发布及转发权限。官方提醒用户谨慎处理所有账号异常登录通知邮件,切勿随意点击邮件内链接或授权应用程序。
