Dün muhtemelen geçen yılın LastPass ihlalinin kurbanlarından beslenmeyi amaçlayan kötü bir kimlik avı yakaladık.
Geçen yılki LastPass ihlalinin sonuçları, kullanıcılara yönelik en son hakaretin son derece ikna edici bir kimlik avı e-postası biçiminde gelmesiyle birlikte hissedilmeye devam ediyor.
Rağmen “yetkisiz taraf” LastPass kullanıcılarının verilerinin ele geçirildiği ve şifre kasalarını çalabildiği göz önüne alındığında, muhtemelen onları kırmakta zorlanıyorlar. LastPass’ın kendi değerlendirmesi şuydu: “En iyi şifre uygulamalarımızı takip eden müşteriler için ana şifreleri kaba kuvvetle tahmin etmeye çalışmak son derece zor olacaktır.”
Kaba kuvvet tahmin teknikleri bazı zayıf şifreler için başarılı olabilir, ancak bu, hızla tükenen bir yaklaşımdır. Şifrelerin ortaya çıkma sıklığı katlanarak azalıyor ve şifre başına maliyet de aynı şekilde artıyor. Dolayısıyla, bazı şifreler etkili bir şekilde kırılamayacak kadar güçlü olsa da, daha zayıf olanların birçoğunun, ortaya çıkarılması çok maliyetli olduğu için muhtemelen güvenli olması muhtemeldir.
Ancak suçluların LastPass kullanıcılarının şifrelerini kırmadan ele geçirmelerinin çok daha kolay bir yolu daha var: Basitçe sorabilirler.
Bunu yapabiliyorlar çünkü çalınan şifre kasalarının yanı sıra suçlular müşterilerin e-posta adreslerini de ele geçirdiler ve “temel müşteri hesap bilgileri”, şirket adları, son kullanıcı adları, fatura adresleri, telefon numaraları ve IP adresleri.
Bu verilerle donanmış saldırganlar, çalınan şifre kasalarının kilidini açmak için gereken şifreleri çalmaya çalışan hedefli kimlik avı e-postaları gönderebilir.
Aldığımız LastPass kimlik avı e-postası ikna ediciydi, tanıdıktı ve yüksek üretim değerleriyle uygulandı. Bununla birlikte, ne kadar ikna edici olursa olsun, e-posta, herhangi birinin neredeyse her türlü dolandırıcılığı tespit etmesine olanak tanıyan iki tehlike işaretinden kaçınamadı: Kişisel bilgi talebi ve kurbanı aceleye getirme girişimi.
E-posta cazibesi, kullanıcılara kişisel verilerini doğrulamalarını, aksi takdirde 26 Eylül’de “belirli özelliklerin” devre dışı bırakılmasıyla karşı karşıya kalmalarını söylüyor.
E-postanın tamamı şöyle:
Kişisel verilerinizin doğrulanması
Uyarı: İletişim bilgilerinizden bazıları güncel değil; LastPass hesabınıza tam erişim sağlayabilmeniz için bunların doğrulanması gerekiyor.
LastPass iki temel prensibe dayanmaktadır: kişisel verilerinizin güvenliği ve gizliliği. Bizim için veri güvenliği her şeyden önemlidir. LastPass, ödeme güvenliğini ve müşterilerimizin bize duyduğu güveni çok ciddiye almaktadır. LastPass’ı kullandığınızda, kişisel bilgilerinizi ve ödemelerinizle ilgili bilgileri korumak için her türlü çabayı gösteriyoruz.
LastPass hesabınızın belirli özelliklerinin devre dışı bırakılmasını önlemek için 26 Eylül 2023 tarihinden önce giriş yaparak hesap bilgilerinizi onaylayın.
Her ne kadar e-postanın “Gönderen” adresinin Tayland’da kayıtlı olduğunu ve LastPass ile ilişkili gibi görünmediğini hemen fark etsek de, pek çoğunun öyle olmayacağından şüpheleniyoruz. Ne yazık ki, tuhaf adreslere, karmaşık URL’lere dikkat etme ve bağlantılara tıklamama yönündeki eski tavsiyeler, bu üçünü de yapan posta sistemlerini kullanan çok sayıda meşru şirket tarafından baltalanıyor.
E-postanın ‘Bilgilerimi onayla’ bağlantısı, muhtemelen kimlik avı sitesine yönlendiren benzersiz bir kimlik içeren karmaşık bir URL biçimi kullanıyor. E-posta gibi site de gerçeğin neredeyse piksel açısından mükemmel bir kopyasıdır. (Tasarımdaki tek hediye, hiçbir şey yapmayan ‘Hesap oluştur’ ve ‘Şifremi unuttum’ düğmeleriydi.)
Yine, bazı kullanıcılar Slovakça alan adından rahatsız olsa da alan adı oldukça düzenli ve biraz da resmi görünüyor.
Kullanıcı adı ve şifrenin doldurulması, bu sefer iki faktörlü kimlik doğrulama (2FA) kodu talebiyle sayfanın yeniden yüklenmesine neden olur; bu, size kod tabanlı 2FA’nın her türlü şifreye karşı sağlam bir savunma olduğunu bir kez daha hatırlatmamıza olanak tanır. saldırılar, kimlik avına karşı bir savunma değildir. (Bunun için donanım anahtarları gibi FIDO2’yi temel alan 2FA’ya ihtiyacınız vardır.)
Suçluları bazı gereksiz bilgilerle besledikten sonra sitenin Slovakça alan adını kontrol ettik ve bu sitenin yalnızca birkaç gün önce 2 Eylül 2023’te Rus kayıt şirketi webnames.ru aracılığıyla oluşturulduğunu keşfettik; bu, gerçek anlamda dalgalanan kırmızı bayraklardan oluşan bir kiraz kuşuydu.
Neyse ki, bu kimlik avı inandırıcı ve tespit edilmesi zor olsa da, standart kimlik avı tavsiyemiz hala geçerlidir ve sizi güvende tutardı:
- Bilinen kötü web sitelerini engelleyin. Malwarebytes DNS filtrelemesi, kimlik avı saldırıları için kullanılan kötü amaçlı web sitelerinin yanı sıra, kötü amaçlı yazılımları yaymak veya kontrol etmek için kullanılan web sitelerini de engeller.
- Olayları göründüğü gibi kabul etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişilerden veya markalardan geliyor ve kaçırılan teslimatlar, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanıyor.
- Harekete geç. İşyerinde bir kimlik avı girişimiyle karşılaşırsanız bunu BT veya güvenlik ekibinize bildirin. Kimlik avına kapılırsanız verilerinizi kullanılamaz hale getirin: Şifre girdiyseniz değiştirin, kredi kartı bilgilerini girdiyseniz kartı iptal edin.
- Bir şifre yöneticisi kullanın. Parola yöneticileri sizin için parolalar oluşturabilir, hatırlayabilir ve doldurabilir. Kimlik avına karşı sizi korurlar çünkü kimlik bilgilerinizi sahte bir siteye girmezler.
- FIDO2 2FA cihazı kullanın. Bazı 2FA formları, şifre kadar kolay bir şekilde kimlik avına tabi tutulabilir. FIDO2 cihazına dayanan 2FA’ya kimlik avı yapılamaz.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.