Web barındırma devi GoDaddy bu ay, çok yıllı bir ihlalin davetsiz misafirlerin şirket kaynak kodunu çalmasına, müşteri ve çalışan oturum açma kimlik bilgilerini çalmasına ve müşteri web sitelerine kötü amaçlı yazılım yerleştirmesine izin verdiğini açıkladığında manşetlere girdi. Medyada yer alan haberler anlaşılır bir şekilde, GoDaddy’nin aynı bilgisayar korsanlığı grubu tarafından bunca yıl boyunca üç farklı siber saldırıya uğradığını kabul etmesine odaklandı. Ancak bu grubun tipik olarak hedeflenen şirketlere nasıl girdiğini tekrar gözden geçirmekte fayda var: Çalışanları arayarak ve onları bir kimlik avı web sitesine yönlendirmeleri için kandırarak.
ile bir dosyalamada ABD Güvenlik ve Değişim Komisyonu (SEC), GoDaddy, aynı “sofistike tehdit aktörü grubunun” aşağıdakiler de dahil olmak üzere üç ayrı izinsiz girişten sorumlu olduğunu belirlediğini söyledi:
-Mart 2020: Bir GoDaddy çalışanına yönelik hedefli kimlik avı saldırısı, yaklaşık 28.000 GoDaddy müşterisinin barındırma oturum açma kimlik bilgilerinin yanı sıra az sayıda çalışanın oturum açma kimlik bilgilerini ele geçirdi;
-Kasım 2021: Güvenliği ihlal edilmiş bir GoDaddy parolası, saldırganların web sitesi yönetici parolaları, sFTP kimlik bilgileri ve özel SSL anahtarları dahil olmak üzere 1,2 milyon müşteriye bağlı kaynak kodu ve bilgileri çalmasına olanak tanır;
-Aralık 2022: Bilgisayar korsanları, “rastgele müşteri web sitelerini aralıklı olarak kötü amaçlı sitelere yönlendiren” GoDaddy’nin cPanel barındırma sunucularına erişim sağladı ve kötü amaçlı yazılımlar yükledi.
Şirket, “Araştırmamıza dayanarak, bu olayların, diğer şeylerin yanı sıra sistemlerimize kötü amaçlı yazılım yükleyen ve GoDaddy içindeki bazı hizmetlerle ilgili kod parçalarını ele geçiren, gelişmiş bir tehdit aktörü grubu tarafından yürütülen çok yıllı bir kampanyanın parçası olduğuna inanıyoruz” dedi. SEC dosyalamasında belirtilmiştir.
Bu olayların nedeni hakkında başka ne biliyoruz? Kasım 2021 olayının kaynağı hakkında GoDaddy’nin güvenliği ihlal edilmiş bir parola içerdiğine ve şirketin izinsiz girişi algılamasının yaklaşık iki ay sürdüğüne dair açıklaması dışında pek bir şey bilmiyoruz. GoDaddy, Aralık 2022’de bazı müşteri web sitelerinde kötü amaçlı yazılıma yol açan ihlalin kaynağını açıklamadı.
Ancak Mart 2020 saldırısının, bir GoDaddy çalışanına yönelik hedef odaklı kimlik avı saldırısıyla hızlandırıldığını biliyoruz. GoDaddy, o sırada olayı genel anlamda bir sosyal mühendislik saldırısı olarak tanımladı, ancak Mart 2020’deki bu ihlalden etkilenen müşterilerinden biri, olaya karışan bilgisayar korsanlarından biriyle konuştu.
Bilgisayar korsanları, işlem aracılık sitesi için Etki Alanı Adı Sistemi (DNS) kayıtlarını değiştirmeyi başardı. emanet.com Malezya’da, o zamanlar yepyeni olan kimlik avı alanı da dahil olmak üzere yalnızca birkaç başka alan adına ev sahipliği yapan bir adresi işaret etti. servicenow-godaddy[.]iletişim.
Escrow.com’un genel müdürü, GoDaddy’de çalıştıklarını iddia eden birinin arayıp hesapta bazı değişiklikler yapmasına izin vermesi gerektiğini söylemesinin ardından kendisini GoDaddy bilgisayar korsanlarından biriyle telefonda konuşurken buldu.
Gerçekte arayan kişi, kimlik bilgilerini vermesi için bir GoDaddy çalışanını kandırmıştı ve çalışanın hesabından Escrow.com’un bir alan adı transferini tamamlamak için özel bir güvenlik prosedürü gerektirdiğini görebiliyordu.
Escrow.com’un genel müdürü, aramanın bir dolandırıcılık olduğundan şüphelendiğini, ancak yaklaşık bir saat boyunca oynamaya karar verdiğini söyledi – bu sırada aramayı kaydedip dolandırıcıdan bilgi almaya ikna etti.
Escrow.com CEO’su KrebsOnSecurity’ye hesapta değişiklik yapmak için “Bu adamın notlara erişimi vardı ve aranacak numarayı biliyordu” dedi. “GoDaddy içindeki yönetici panelinin notlarına giden biletleri tam anlamıyla okuyordu.”
Bu konuşmanın yaklaşık yarısında – genel müdür tarafından sahtekar olarak çağrıldıktan sonra – bilgisayar korsanı kendisinin bir GoDaddy çalışanı olmadığını ve aslında hedeflenen şirketlerde sosyal mühendislik çalışanları ile tekrar tekrar başarıya ulaşan bir grubun parçası olduğunu itiraf etti. telefonda.
GoDaddy’nin SEC beyanında yer almayan, Kasım 2020’de bilinmeyen davetsiz misafirlerin e-posta ve web trafiğini belirli bir kapasitede GoDaddy kullanan birden fazla kripto para birimi hizmeti için yeniden yönlendirdiği başka bir saldırı dalgasıdır.
Bu olaydan, başka bir davetsiz misafir grubunun işi olduğu için bahsedilmemiş olabilir. Ancak o sırada KrebsOnSecurity’den gelen sorulara yanıt olarak GoDaddy, olayın aynı zamanda “sınırlı” sayıda GoDaddy çalışanının karmaşık bir sosyal mühendislik dolandırıcılığına kanmasından kaynaklandığını söyledi.
GoDaddy 2020’de yaptığı yazılı açıklamada, “Tehdit aktörleri saldırılarında giderek daha karmaşık ve agresif hale geldikçe, çalışanları onlara karşı kullanılabilecek yeni taktikler konusunda sürekli olarak eğitiyor ve gelecekteki saldırıları önlemek için yeni güvenlik önlemleri alıyoruz.”
Sesle kimlik avı veya “vishing” saldırıları genellikle uzaktan çalışan çalışanları hedef alır. Kimlik hırsızları, genellikle sözde bazı sorunları gidermeye yardımcı olmak için işverenin BT departmanından aradıklarını iddia edeceklerdir. Amaç, saldırganlar tarafından kuruluşun kurumsal e-postasını veya VPN portalını taklit eden bir web sitesinde kimlik bilgilerini girmeye hedefi ikna etmektir.
Ağustos 2020’de başarılı sesli kimlik avı saldırılarındaki hızlı artışla ilgili bir haber için görüşülen uzmanlar, her vishing dolandırıcılığına genellikle en az iki kişinin dahil olduğunu söyledi: Biri telefonda hedefin sosyal mühendisliğini yapan biri ve tüm kimlik bilgilerini alan başka bir işbirlikçi kurban tarafından paylaşılan çok faktörlü kimlik doğrulama kodları da dahil olmak üzere kimlik avı sayfasından girilir ve bunları hızla şirketin web sitesinde oturum açmak için kullanır.
Saldırganlar, potansiyel bir kurbana bir vishing araması başlatmaya hazır olana kadar genellikle kimlik avı etki alanıyla hiçbir şey yapmamaya dikkat ederler. Saldırı veya çağrı tamamlandığında, etki alanına bağlı web sitesini devre dışı bırakırlar.
Bu çok önemlidir, çünkü birçok alan adı kayıt kuruluşu, yalnızca kötüye kullanım şikayeti sırasında site yayındaysa, bir kimlik avı web sitesini kaldırmaya yönelik harici isteklere yanıt verir. Bu taktik ayrıca, yeni kaydedilen kimlik avı alan adlarını dolandırıcılık için kullanılmadan önce belirlemeye odaklanan şirketlerin çabalarını da engelleyebilir.
Yubikey tarafından yapılmış bir U2F cihazı.
GoDaddy’nin en son SEC dosyası, şirketin Aralık 2022 itibarıyla yaklaşık 7.000 çalışanı olduğunu gösteriyor. Buna ek olarak GoDaddy, ağırlıklı olarak Hindistan, Filipinler ve Kolombiya’da bulunan iş süreçleri dış kaynak şirketleri aracılığıyla şirket için tam zamanlı çalışan 3.000 kişiyle daha sözleşme yapıyor.
Artık birçok şirket, çalışanlarının şirket varlıklarına çevrimiçi oturum açarken kullanıcı adlarına ve parolalarına ek olarak SMS yoluyla gönderilen veya bir mobil kimlik doğrulayıcı uygulaması tarafından üretilen gibi tek seferlik bir parola vermelerini şart koşuyor. Ancak hem SMS hem de uygulama tabanlı kodlar, kullanıcının parolasına ek olarak bu bilgileri de talep eden kimlik avı saldırıları tarafından zayıflatılabilir.
Bir çok faktörlü seçenek – fiziksel güvenlik anahtarları – bu gelişmiş dolandırıcılıklara karşı bağışık gibi görünüyor. En sık kullanılan güvenlik anahtarları ucuz USB tabanlı cihazlardır. Güvenlik anahtarı, Evrensel 2. Faktör (U2F) olarak bilinen ve kullanıcının yalnızca USB cihazını takıp cihazdaki bir düğmeye basarak oturum açma işlemini tamamlamasına olanak tanıyan bir çok faktörlü kimlik doğrulama biçimini uygular. Anahtar, herhangi bir özel yazılım sürücüsüne ihtiyaç duymadan çalışır.
Çok faktörlü kimlik doğrulama için U2F cihazlarının cazibesi, kimlik doğrulama için bir güvenlik anahtarı kaydettiren bir çalışan bir sahtekar sitede oturum açmaya çalışsa bile, kullanıcı açık değilse şirketin sistemlerinin güvenlik anahtarını istemeyi reddetmesidir. işverenlerinin yasal web sitesi ve oturum açma girişimi başarısız oluyor. Bu nedenle, ikinci faktör ne telefonla ne de İnternet üzerinden oltalama işlemine tabi tutulamaz.
Temmuz 2018’de Google, tüm çalışanların tek seferlik kodlar yerine fiziksel güvenlik anahtarları kullanmasını zorunlu kılmaya başladığı 2017’nin başından bu yana 85.000’den fazla çalışanından hiçbirinin işle ilgili hesaplarında başarılı bir şekilde kimlik avı yapmadığını açıkladı.