Adalet Bakanlığı bugün, Wisconsin’den Joseph Garrison adlı 18 yaşındaki bir adamın, Kasım 2022’de DraftKings spor bahisleri web sitesinin yaklaşık 60.000 kullanıcısının hesaplarını hacklemekle suçlandığını açıkladı.
Şikayete göre zanlı, hesaplara sızmak için diğer ihlallere ait kapsamlı bir kimlik bilgileri listesi kullandı. Daha sonra ele geçirilen hesapları sattı ve alıcılar, güvenliği ihlal edilmiş yaklaşık 1.600 hesaptan yaklaşık 600.000 $ çaldı.
Garrison ve işbirlikçileri, çalınan hesapların alıcılarının tüm paralarını çekmelerine olanak tanıyan bir yöntem geliştirdiler ve onlara, ele geçirilen hesaplara yeni bir ödeme yöntemi eklemeleri, geçerliliğini doğrulamak için yeni eklenen ödeme yöntemi aracılığıyla nominal bir meblağ 5 ABD doları yatırmaları talimatını verdiler. ve ardından kurbanların hesaplarındaki tüm mevcut parayı saldırganların kontrolü altındaki ayrı bir mali hesaba çekin.
Kolluk kuvvetleri, Şubat 2023’te Garrison’ın konutunda yapılan bir aramada, hedeflenen her web sitesi için özel “yapılandırma” dosyaları gerektiren kimlik bilgisi doldurma saldırılarında yaygın olarak kullanılan araçlar (OpenBullet ve SilverBullet dahil) buldu.
Şüphelinin bilgisayarında, Kasım ayında saldırıya uğrayan bahis sitesine ait 11 ayrı dosya da dahil olmak üzere, düzinelerce kurumsal web sitesine ait yaklaşık 700 yapılandırma dosyası bulundu.
Ayrıca, arama ayrıca, kimlik bilgisi doldurma saldırılarında da kullanılan, yaklaşık 38.484.088 kullanıcı adı ve şifre kombinasyonu içeren en az 69 dosyanın (kelime listeleri olarak bilinir) keşfedilmesine yol açtı.
Kolluk kuvvetleri, Garrison’ın telefonunu incelerken, sanığın Kasım 2022’de bahis platformuna yönelik kimlik bilgileri saldırısına karıştığını gösteren ek kanıtlar buldu.
Böyle bir sohbette Garrison, kolluk kuvvetlerinin onu yakalayamayacağına veya kovuşturamayacağına inandığını bile ifade ederek, “dolandırıcılık eğlencelidir … hesabımda para görmeye bağımlıyım … boku atlatmaya takıntılı gibiyim.”
DraftKings kimlik bilgisi saldırısına bağlantılar
Adalet Bakanlığı saldırıda hedeflenen bahis sitesinin adını vermese de, BleepingComputer her iki DraftKing’i de hedef alan bir planın farkındadır. [1, 2] ve Kasım 2022’de FanDuel.
CNBC’ye göre bu, DraftKings’in bugünkü DOJ basın açıklamasında açıklanan kimlik bilgileri doldurma saldırısının hedefi olduğunu söyleyen şirkete yakın biri tarafından doğrulandı.
DraftKings ilk olarak 21 Kasım’da bir kimlik bilgisi saldırısında ihlal edilen hesaplardan 300.000 dolara kadar çalındığını ortaya çıkardı.
Bir ay sonra spor bahisleri şirketi, olayda 67.995 müşterinin hesapları hacklendikten sonra çalınan yüzbinlerce doları iade ettiğini açıkladı (şikayette ve DOJ basın bülteninde belirtilen hesap sayısıyla eşleşiyor).
Kasım ayının aynı döneminde, FanDuel müşterileri, kimlik bilgileri doldurma saldırılarının ardından hesapların ele geçirildiğini ve saldırıya uğramış hesapların siber suç pazarlarında 2 $ gibi düşük bir fiyata satıldığını bildirdi.
Garrison’ın, iki saldırıdan sonra hacklenmiş DraftKings ve FanDuel hesapları satan “Goat Shop” web sitesini işlettiği biliniyor.
Şikayette, “Garrison Phone’da, kolluk kuvvetleri, Goat Shop’un 2.135.150,09 $ toplam satış geliri için 225.247 ürün sattığını gösteren tarihsiz bir resim buldu” diyor.
İhlal edilen DraftKings hesaplarının nasıl boşaltılacağına ilişkin aynı ayrıntılı talimatlar, şikayette Garrison’s Goat Shop web sitesinde görülen talimatlarla eşleşen başka bir çevrimiçi mağazada sağlandı.
İşbirlikçiler ayrıca DraftKings’in olay tepkisini takip ediyorlardı ve bir noktada, şirket etkilenen hesapların şifrelerini sıfırladıktan sonra, ihlal edilen tüm hesapların artık kilitlendiği konusunda uyardılar.
Kasım ayındaki saldırının ardından DraftKings, müşterilere birden fazla hizmet için asla aynı şifreyi kullanmamalarını, hesaplarında 2FA’yı hemen açmalarını ve hileli para çekme taleplerini engellemek için banka hesaplarının bağlantısını kaldırmalarını veya banka bilgilerini kaldırmalarını tavsiye etti.
Chick-fil-A ayrıca Mart ayında (Ocak ayında başlayan bir soruşturmanın ardından) 18 Aralık 2022 ile 12 Şubat 2023 arasında bir ay süren “otomatik” kimlik bilgileri doldurma saldırısında 71.473 müşterinin hesaplarının ihlal edildiğini doğruladı.
Çalınan hesaplar ayrıca hesap bakiyesine, bağlantılı ödeme yöntemine veya Chick-fil-A One ödül puanlarının miktarına bağlı olarak Goat Shop web sitesinde 200 $’a kadar satışa sunuldu.
FBI’ın yakın zamanda uyardığı gibi, kolayca bulunabilen otomatik araçlar ve elde edilmesi kolay toplu çalınan kimlik bilgileri listeleri nedeniyle kimlik bilgileri doldurma saldırılarının hacmi ve sıklığı artıyor.
FBI Sorumlu Müdür Yardımcısı Michael J. Driscoll bugün yaptığı açıklamada, “İddia edildiği gibi, Garrison, yüzbinlerce doları çalmak için karmaşık bir siber saldırı kullanarak kurbanların hesaplarına yetkisiz erişim sağladı” dedi.
“Özel şahısların fonlarını çalmayı amaçlayan siber saldırılar, ekonomik güvenliğimiz için ciddi bir risk oluşturuyor. Siber saldırılarla mücadele etmek ve sorumlu tehdit aktörlerini ceza adaleti sisteminde sorumlu tutmak, FBI için en önemli öncelik olmaya devam ediyor.”