Yakın tarihli bir sofistike kimlik avı saldırıları dalgası, GTHub bildirimleri aracılığıyla Y kombinatörü taklit ederek geliştiricileri ve girişimleri hedefledi.
Mağdurlar, sadece sahte doğrulama planları aracılığıyla finansal hırsızlıkla yüzleşmek için başlangıç finansmanı için seçildiklerine inanmak için kandırılıyor.
Bu olay, Phishisers’ın güvenilir çevrimiçi platformlardan ve saygın organizasyonlardan yararlanmak için kullandıkları yeni taktikleri vurgulamaktadır.
Saldırı gelişiyor: kitle sayısı etiketleme ve sahte uygulamalar
Saldırganlar, “Y kombinatörü”, “Ycombinato”, “Ycombbinator”, “Yccombinator” gibi çok sayıda GitHub hesap ve depo adını yakından kaydettirdiler ve kasıtlı yazım hataları ve hipenlerle varyasyonlar.
Bu hesaplar, her biri çok sayıda rastgele kullanıcıyı etiketleyen dakikada yüzlerce GitHub sorunu yarattı.
Bildirimler, genellikle finansman veya yetkilendirme süreci için sözde bir seçimden bahseden resmi y kombinator iletişimine benzemek üzere tasarlanmıştır.
Mağdurlar, bazen kullanıcılardan “cüzdanlarını doğrulamalarını” veya sonraki adımlar için para yatırmalarını isteyen takipler ile e-posta ve GitHub bildirimleri aldı.
Saldırganlar ayrıca, mesajların algılanan meşruiyetini artırmak için “Ycombinatornotify” ve “Mail-Notifaction-Automatic” gibi GitHub uygulamalarını da kullandılar.
Şema, depolar raporlanana ve silinene veya Github tarafından hızla sınırlandırılana kadar otomatik komut dosyaları kullanarak hem GitHub’ın bildirim sisteminden hem de e-postalardan yararlandı.
Sahte alanlar ve cüzdan kimlik avı
Birçok kurban, bu GitHub bildirimlerinden “y-comblnator.com” gibi kimlik avı alanlarına ve benzeri lookalikes’e yönlendirildiğini bildirdi.
Bu sayfalar y Combinator markasını yansıtıyor, ancak cüzdan kimlik bilgilerini toplamak veya kripto depozitoları talep etmek için tasarlandı ve kullanıcıları başlangıç finansmanı vaatleriyle kandırdı.
Kullanıcılar, bu alanların yazım hattı, genellikle harflerin yerine geçerek ve algılamadan kaçınmak için tire eklediğini fark ettiler.
Bazı raporlar, yeni oluşturulan hesaplardan ve depolardan daha fazla bildirimle, ilk spam depoları kaldırıldıktan sonra bile devam eden şüpheli faaliyetleri gösterdi.
Saldırganlar yaklaşımlarını sürekli uyarladılar ve önceki kampanyalar kaldırılmadan önce yeni kampanyalar başlattılar.
Haberler hacker News ve GitHub forumlarına hızla yayıldı ve kullanıcılar uyarılar ve azaltma ipuçları paylaşıyor.
Birçoğu resmi y Combinator güvenlik ekibini “[email protected]” adresinde etiketledi ve GitHub’ın istismar raporlama sistemini kullandı, ancak bazı raporlama işlevleriyle ilgili sorunlar vardı.
Etkilenen bireyler ayrıca hileli alanları tarayıcı ve arama motoru kimlik avı koruma listelerine sundu.
GitHub’da devam eden bildirim spam’i kaldırmak için kullanıcılar API geçici çözümlerinden yararlandı, çünkü kullanıcı arayüzü bu mesajları düzgün görüntüledi.
Github o zamandan beri aldatmaca depolarını ve kullanıcı hesaplarını silerek yanıt verdi, ancak kimlik avı bildirimleri ve sahte alanlar devam edebilir.
Bu kimlik avı kampanyası, siber suçluların güvenilir hizmet bildirimlerini ve saygın markaları normal kullanıcı şüpheciliğini atlamak için nasıl taklit ettiklerini vurgulamaktadır.
Geliştiriciler ve başlangıç kurucularının temkinli kalmaları, kuruluşlarla iletişimi doğrudan doğrulamaları ve şüpheli etkinlikleri hızlı bir şekilde bildirmeleri istenir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.