Το Σάββατο 3 Σεπτεμβρίου, η ομάδα ασφάλειας του Twitter ειδοποίησε ότι πληθαίνουν οι αναφορές από χρήστες που δηλώνουν ότι ο λογαριασμός τους στέλνει δημόσια και ιδιωτικά μηνύματα εν αγνοία τους. Η υπηρεσία τονίζει ότι πρόκειται για απόπειρα ψαρέματος στοιχείων, καθώς οι χρήστες, όπως φαίνεται, ξεγελάστηκαν και έδωσαν τους κωδικούς εισόδου στο Twitter με αφορμή προσωπικό μήνυμα που, θεωρητικά, στάλθηκε από φίλο. Έτσι, η επίθεση συνεχίζεται από ακόλουθο σε ακόλουθο.
Η μέθοδος δεν είναι νέα: οι χρήστες λαμβάνουν ένα προσωπικό μήνυμα (DM, direct message) από κάποιον που έχουν επιλέξει να ακολουθήσουν (θεωρητικά «φίλο») και ως εκ τούτου, εμπιστεύονται. Το μήνυμα συνήθως αφορά σε ωραίες προσωπικές φωτογραφίες ή κάτι άλλο εντυπωσιακό και παραπέμπει σε μια ιστοσελίδα, την διεύθυνση της οποίας δεν μπορεί κανείς εύκολα να διακρίνει γιατί συνήθως είναι ένα συντετμημένο URL.
Κάνοντας κλικ στο URL, ο χρήστης μοιάζει να οδηγείται στη σελίδα του twitter από τον browser και καλείται να εισάγει τα στοιχεία εισόδου του στην υπηρεσία. Πρόκειται όμως για μια πλαστή ιστοσελίδα, σκοπός της οποίας είναι να συλλέξει login και password.
Η υπηρεσία συνιστά σε όσους έχουν ενδεχομένως πέσει θύματα της απάτης να αλλάξουν password (από το http://twitter.com και μετά την είσοδό σας στην υπηρεσία, επιλέγετε Setting και Change Password).
Εκτός όμως από την αλλαγή κωδικού εισόδου στην υπηρεσία, προτείνεται στους χρήστες να αποσύρουν τις άδειες που έχουν παραχωρήσει σε διάφορες εφαρμογές (για παράδειγμα, σε διαφορετικές υλοποιήσεις για τη διαχείριση των tweet, για το μοίρασμα φωτογραφιών και βίντεο, σε app για το smartphone, για την απόδοση γεωγραφικών συντεταγμένων στα μηνύματά μας κ.ά.), γεγονός που προκαλεί αφενός την παράλυσή της και τελικά, απαιτεί την εισαγωγή του κωδικού εκ νέου σε αυτές για να ανακάμψουν.
