Google Tehdit İstihbarat Grubu’ndaki (GTIG) Güvenlik Araştırmacılarına göre, Rus hackerlar Gmail’deki Google’ın Gmail’deki çok faktörlü kimlik doğrulamasını (MFA) atladı.
Bilgisayar korsanları, ABD Dışişleri Bakanlığı yetkilileri olarak ileri sosyal mühendislik saldırılarında poz vererek, hedefle bir ilişki kurarak ve daha sonra uygulamaya özgü şifreler (uygulama şifreleri) oluşturmaya ikna ederek çıkardı.
Uygulama şifreleri, Google’ın belirli uygulamaların veya cihazların Google hesabınıza güvenli bir şekilde erişmesine izin vermek için oluşturduğu özel 16 haneli kodlardır, özellikle de MFA etkinleştirilir.
Normalde, Google hesabınızda oturum açtığınızda, normal şifrenizi ve telefonunuza gönderilen bir kod gibi ikinci bir doğrulama adımını kullanırsınız. Ancak bazı eski veya daha az güvenli uygulamalar ve cihazlar – belirli e -posta istemcileri, kameralar veya eski telefonlar gibi – bu ekstra doğrulama adımını işleyemediğinden, Google uygulama şifrelerini oturum açmanın alternatif bir yolu olarak sağlar.
Ancak, uygulama şifreleri ikinci doğrulama adımını atladığından, bilgisayar korsanları tam bir MFA girişinden daha kolay çalabilir veya Phish’i Phish yapabilir.
CitizenLab tarafından sağlanan bir örnekte, saldırganlar başlangıçta bir Dışişleri Bakanlığı temsilcisi olarak poz vererek temas kurdu ve hedefi özel bir çevrimiçi görüşme ayarında bir danışmaya davet etti.
Davet bir Gmail hesabından gelse de, dört @state.gov hesabı, yanlış bir güvenlik duygusu verir ve hedefin Dışişleri Bakanlığı’ndaki diğer kişilerin e -posta konuşmasını izlediğine inanmasını sağlar.
Büyük olasılıkla, saldırgan bu e -posta adreslerini üretti, Dışişleri Bakanlığı’nın e -posta sunucusunun tüm mesajları kabul ettiğini ve adresler olmasa bile bir sıçrama yanıtı göndermediğini bilerek.
Konuşma açılır ve hedef ilgi gösterdikçe, “MS DOS Konuk Kiracı” hesabına kaydolma talimatları içeren resmi görünümlü bir belge aldılar. Belge, “Dahili Çalışanlar ve Harici Ortaklar arasında güvenli iletişimi etkinleştirmek” için bir uygulama şifresi oluşturmayı içeren “çalışma hesabınızı… MS DOS Konuk Kiracı Platformumuza ekleme” sürecini özetledi.
Dolayısıyla, hedef bir Dışişleri Bakanlığı platformuna güvenli bir şekilde erişmek için bir uygulama şifresi oluşturduklarına ve paylaştıklarına inanırken, aslında saldırgana Google hesaplarına tam erişim sağlıyorlar.
Aylarca süren bu kampanyanın hedefleri, Rusya’nın önde gelen akademisyenleri ve eleştirmenleriydi ve araştırmacıların saldırganın Rus devlet destekli bir varlık olduğundan şüphelendiği detaylar ve beceri için çok dikkat çekti.
Güvenli olun, uygulama şifrelerinden kaçının
Artık bu bypass bilindiğine göre, gelecekte uygulamaya özgü şifrelerden yararlanan daha fazla sosyal mühendislik saldırısı bekleyebiliriz. İşte nasıl güvende kalacağınız:
- Sadece kesinlikle gerektiğinde uygulama şifrelerini kullanın. Daha güvenli oturum açma yöntemlerini destekleyen uygulamalar ve cihazlarda değişme fırsatınız varsa, bu anahtarı yapın.
- MFA’yı etkinleştirme tavsiyesi hala güçlü duruyor, ancak tüm MFA eşit yaratılmıyor. Authenticator uygulamaları (Google Authenticator gibi) veya donanım güvenlik anahtarları (FIDO2/WebAuthn), uygulama şifreleri yerine SMS tabanlı kodlardan daha dirençlidir.
- Kendinizi ve başkalarını kimlik avı girişimlerini tanımak konusunda düzenli olarak eğitin. Saldırganlar genellikle kullanıcıları kimlik avı yoluyla kimlik bilgilerini veya uygulama şifrelerini açığa çıkararak kandırarak MFA’yı atlar.
- Alışılmadık yerlerden veya cihazlardan gelen girişler gibi olağandışı giriş denemelerine veya şüpheli davranışlara dikkat edin. Ve mümkün olduğunca bu girişleri sınırlayın.
- İşletim sisteminizi ve kullandığınız uygulamaları, saldırganların kullanabileceği güvenlik açıklarını düzenli olarak güncelleyin. Kendinizi hatırlamak zorunda kalmamak için mümkün olduğunca otomatik güncellemeleri etkinleştirin.
- Kötü niyetli alanları engelleyebilen ve dolandırıcılıkları tanıyabilen güvenlik yazılımı kullanın.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.