Doch was hat es mit dem begehrten blauen Haken neben dem Profilnamen überhaupt auf sich? Vereinfacht gesagt, sollte er als Bestätigung dienen, dass in einem Profil auch das enthalten ist, was darauf steht. Also beispielsweise, dass das Profil „Joe Biden“ auch dem derzeitigen US-Präsidenten gehört. Oder, dass das Profil „McDonald’s Deutschland“ auch zu besagtem Unternehmen gehört. Die Nutzer können sich also in der Regel darauf verlassen, dass die verifizierten Accounts von Promis, Unternehmen, Politikern, Journalisten oder anderen in der Öffentlichkeit stehenden Personen auch tatsächlich zu diesen gehören. Im Falle von McDonald’s dürfte also ein Link zu Coupons, der über dieses Profil verbreitet wurde, auch tatsächlich funktionieren und nicht zu Spam oder noch schlimmer zu Malware führen. Damit ist der blaue Haken sowohl für Unternehmen als auch für die Nutzer selbst ein echter Mehrwert – der nun monetarisiert werden soll.
Genau das machen sich derzeit aber auch Kriminelle zunutze, denn sie versuchen verifizierte Nutzer mal mehr, mal weniger geschickt in die Falle zu locken. Das Online-Portal BleepingComputer hat seit der Ankündigung der Gebühren mehrere neue Phishing-Kampagnen beobachtet, die es gezielt auf verifizierte Nutzer abgesehen haben. In den E-Mails wird darauf gedrängt, möglichst schnell eine Zahlung vorzunehmen, da sonst das Risiko bestünde, dass der Account gesperrt werde. Versandt wurden diese E-Mails meist über gehackte Webseiten und Blogs, die beispielsweise veraltete Versionen von WordPress oder ungepatchte Plug-ins nutzen. Wer auf den enthaltenen Link klickt, gelangt zu einer gefälschten Webseite, auf der man nach den Log-in-Daten von Twitter gefragt wird. Nachdem Nutzername und Passwort eingegeben wurden, verschicken die Kriminellen sogar einen falschen Code für die Zwei-Faktor-Authentifizierung. Die Gestaltung sowohl der E-Mail als auch der Webseite ist mehr oder weniger authentisch, wobei sich die Kriminellen in einigen Fällen mehr Mühe gegeben haben, den Look von Twitter zu kopieren als in anderen.
Ob die Kriminellen mit ihren Phishing-Versuchen auch das Ziel verfolgen, Geld zu erhalten gibt der Bericht nicht an, doch die Log-in-Daten der Nutzer, die auf die E-Mails hereinfallen, sind auf jeden Fall kompromittiert. Gerade für Personen, die in der Öffentlichkeit stehen und einen gewissen Ruf zu verteidigen haben, kann das bereits eine Katastrophe sein. Gleiches gilt für Unternehmen und ihre Reputation, wenn Kriminelle ihre Botschaften oder Malware über den verifizierten Account verbreiten. Das gilt es zu vermeiden und das ist glücklicherweise gar nicht so schwierig, wenn man die Phishing-Nachrichten als solche erkennt – und sie dann einfach ignoriert und löscht.