Los Angeles’taki federal savcılar bu hafta, 2021 ile 2023 yılları arasında büyük ABD teknoloji şirketlerine düzinelerce siber saldırıdan sorumlu bir bilgisayar korsanlığı grubunun üyesi oldukları iddia edilen beş adama karşı suç duyurusunda bulundu. Son Geçiş, MailChimp, Okta, T-Mobile Ve Twilio.
Scattered Spider ve Oktapus olarak bilinen SMS kimlik avı grubunun saldırılarının görsel bir tasviri. Resim: Amitai Cohen twitter.com/amitaico.
Yaşları 20 ile 25 arasında değişen beş adamın “” adlı bir bilgisayar korsanlığı komplosunun üyesi olduğu iddia ediliyor.Dağınık Örümcek” Ve “Ahtapot“, teknoloji firmalarındaki çalışanları kimlik avı web sitelerine kimlik bilgilerini ve tek kullanımlık şifreleri girmeleri için kandıran SMS tabanlı kimlik avı saldırıları konusunda uzmanlaştı.
Hedeflenen SMS dolandırıcılığı, çalışanlardan bir bağlantıya tıklayıp işverenlerinin Okta kimlik doğrulama sayfasını taklit eden bir web sitesinde oturum açmalarını istedi. Bazı SMS kimlik avı mesajları, çalışanlara VPN kimlik bilgilerinin süresinin dolduğunu ve değiştirilmesi gerektiğini söylüyordu; diğer kimlik avı mesajları çalışanlara yaklaşan çalışma programlarında yapılacak değişiklikler hakkında bilgi veriyordu.
Bu saldırılar, Twilio-help gibi genellikle hedeflenen şirketin adını içeren yeni kayıtlı alan adlarından yararlandı.[.]com ve bizim yahoo-okta[.]com. Kimlik avı web siteleri normalde bir seferde yalnızca bir veya iki saat boyunca çevrimiçi tutuluyordu; bu, kimlik avı önleme ve güvenlik hizmetleri tarafından işaretlenmeden önce genellikle çevrimdışına alındıkları anlamına geliyor.
Bu kampanyalar için kullanılan kimlik avı kitleri, gönderilen kimlik bilgilerini gerçek zamanlı olarak ileten gizli bir Telegram anlık mesaj botu içeriyordu. Bot, saldırganların kimlik avı yapılan kullanıcı adını, şifreyi ve tek kullanımlık kodu kullanarak gerçek işverenin web sitesinde söz konusu çalışan olarak oturum açmasına olanak tanıdı.
Ağustos 2022’de birden fazla güvenlik firması, Telegram botundan veri alan sunucuya erişim sağladı ve bu bot, birkaç kez Telegram kimliğini ve geliştiricisinin tanıtıcı bilgilerini sızdırdı.Joeleoli.”
Telegram kullanıcı adı “Joeleoli”, bunun bir kimlik avı olduğunu bilen kişiler tarafından gönderilen veriler ile gerçek kurbanlardan alınan kimlik avı verileri arasında sıkışmış olarak görülüyor. Büyütmek için tıklayın.
Joeleoli lakabı siber suç forumunda kayıtlı OGuers 2018’de e-posta adresiyle [email protected]Bu aynı zamanda Kuzey Carolina’dan Joel Evans adına çeşitli web sitelerindeki hesapları kaydetmek için de kullanıldı. Gerçekten de savcılar Joeleoli’nin gerçek adının Joel Martin Evansve 25 yaşında, Jacksonville, Kuzey Carolina’dan bir genç.
Scattered Spider’ın 2022’deki SMS kimlik avı çılgınlığının ilk büyük kurbanlarından biri Twiliokısa mesaj ve telefon aramaları yapmak ve almak için hizmetler sağlayan bir şirket. Grup daha sonra Twilio’ya erişimlerini kullanarak en az 163 müşterisine saldırdı. Savcılara göre grup esas olarak kurban şirketlerden ve onların çalışanlarından kripto para birimini çalmaya çalışıyordu.
“Sanıkların bu kimlik avı planında şüphelenmeyen kurbanları avladıkları ve kişisel bilgilerini kripto para birimi hesaplarındaki milyonları çalmak için bir geçit olarak kullandıkları iddia ediliyor” dedi. Akil DavisFBI’ın Los Angeles saha ofisinden sorumlu müdür yardımcısı.
Bilgisayar korsanlığı grubunun kimlik avı etki alanlarının çoğu, kayıt şirketi aracılığıyla kaydedildi İsimUcuzve FBI müfettişleri, NameCheap’ten elde edilen kayıtların, kimlik avı web sitelerini yöneten kişinin bunu İskoçya’daki bir İnternet adresinden yaptığını gösterdiğini söyledi. Federaller daha sonra Virgin Media’dan adresin birkaç aylığına kiralandığını gösteren kayıtları aldı. Tyler Buchanan22 yaşında, Dundee, İskoçya’dan bir genç.
Twilio çalışanlarına gönderilen bir Dağınık Örümcek kimlik avı yemi.
İlk olarak Haziran ayında burada bildirildiği üzere Buchanan, İtalya’ya giden bir uçağa binmeye çalışırken İspanya’da tutuklandı. İspanyol polisi yerel basına, bu takma adı kullandığı iddia edilen Buchanan’ın “TylerbBir zamanlar 27 milyon dolar değerinde Bitcoin’e sahipti.
Hükümet, Tylerb’ın kripto para zenginliğinin büyük kısmının başarılı çalışmalarının sonucu olduğunu söylüyor SIM değiştirme Dolandırıcıların hedefin telefon numarasını kontrol ettikleri bir cihaza aktardığı ve kimlik doğrulama için tek seferlik şifreler veya SMS yoluyla gönderilen şifre sıfırlama bağlantıları dahil olmak üzere kurbana gönderilen tüm kısa mesajları veya telefon çağrılarını engellediği saldırılar.
Tylerb’in sık sık kullandığı bilinen Telegram’daki birçok SIM değiştirme kanalına göre, rakip SIM değiştirmeciler Şubat 2023’te evini istila etmek için haydutlar kiraladılar. Bu hesaplar, davetsiz misafirlerin Tylerb’in annesine ev işgali sırasında saldırdıklarını ve onu yakmakla tehdit ettiklerini belirtiyor. Eğer kripto para birimi cüzdanlarının anahtarlarını vermezse onu kaynak makinesiyle öldürecektim. Tylerb’in bu saldırıdan sonra Birleşik Krallık’tan kaçtığı söyleniyordu.
İspanyol ulusal polisi tarafından yayınlanan ve Tyler Buchanan’ın havaalanında gözaltına alındığını gösteren bir videodan sabit bir kare.
Savcılar, Tylerb’in SIM değiştirme saldırılarında yakın çalıştığını iddia ediyor Nuh Michael UrbanPalm Coast, Florida’dan başka bir Scattered Spider üyesi olduğu iddia edilen kişi “Sosa“”İlyas,” Ve “Kral bob.”
Sosa’nın, çevrimiçi ortamda “” olarak bilinen daha geniş siber suç topluluğunun üst düzey bir üyesi olduğu biliniyordu.İletişimBilgisayar korsanları, neredeyse her zaman sosyal mühendislikle başlayan, insanları telefon, e-posta veya SMS yoluyla kurumsal ağlara uzaktan erişime izin veren kimlik bilgilerini vermeleri için kandıran yüksek profilli istismarlar ve saldırılar hakkında yüksek sesle övünüyorlar.
Ocak 2024’te KrebsOnSecurity, Urban’ın Florida’da birden fazla SIM değiştirme saldırısıyla bağlantılı olarak tutuklandığı haberini verdi. Bu hikayede, Sosa’nın ikinci kişiliği Kingbob’un, popüler sanatçıların yayınlanmamış müzik kayıtlarını tanımlamak için kullanılan argo bir terim olan “kaseleri” çalmak ve paylaşmak için kayıt endüstrisindeki insanları rutin olarak hedef aldığı belirtiliyordu.
FBI müfettişleri komplonun dördüncü şüpheli üyesini tespit etti: Ahmed Hossam Eldin Elbadawy23 yaşındaki College Station, Texas – kurban bir şirketten çalınan kripto para birimi fonlarının bir kısmını, kimlik avı alan adlarını kaydetmek için kullanılan bir hesabın ödemesini yapmak için kullandıktan sonra.
Çarşamba günü açıklanan iddianame, Elbadawy’nin başka bir Teksaslı adamla birlikte çalıntı fonları almak için kullanılan bir dizi kripto para birimi hesabını kontrol ettiğini iddia ediyor. Evans Onyeaka Osiebo20, Dallas’tan.
Scattered Spider üyelerinin Eylül 2023’te bir fidye yazılımı saldırısına karıştıkları söyleniyor. MGM Tatil Köyleri birden fazla MGM kumarhanesini hızla durma noktasına getiren otel zinciri. Eylül 2024’te KrebsOnSecurity, Birleşik Krallık’tan 17 yaşındaki bir çocuğun, MGM hack’iyle ilgili FBI soruşturmasının bir parçası olarak geçen yıl Birleşik Krallık polisi tarafından tutuklandığını bildirdi.
Evans, Elbadawy, Osiebo ve Urban, birer elektronik dolandırıcılık komplosu, bir komplo ve bir ağırlaştırılmış kimlik hırsızlığıyla suçlandı. Suç ortağı olarak adlandırılan Buchanan, elektronik dolandırıcılık, komplo, elektronik dolandırıcılık ve ağırlaştırılmış kimlik hırsızlığı yapmak için komplo kurmakla suçlandı.
Adalet Bakanlığı’ndan yapılan bir basın açıklamasında, suçlu bulunması halinde her sanığın, elektronik dolandırıcılık amaçlı komplo kurmak suçundan federal hapishanede maksimum 20 yıl, komplo sayımı nedeniyle federal hapishanede beş yıla kadar hapis cezasına ve art arda iki yıl zorunlu hapis cezasına çarptırılacağı belirtiliyor. ağırlaştırılmış kimlik hırsızlığı suçundan hapis cezası. Buchanan, elektronik dolandırıcılık suçundan da 20 yıla kadar hapis cezasıyla karşı karşıya kalacak.
Daha fazla okuma:
Buchanan’a karşı düzenlenmiş şikayet (PDF)
Urban ve diğer sanıklara yönelik suçlamalar (PDF).