- Gelişmiş bir bilgisayar korsanlığı grubu, Google Authenticator’daki bir güvenlik açığından yararlanarak kripto para birimi firmalarını hedef aldı.
- Bilgisayar korsanları, bir dizi Fortune 500 şirketi tarafından kullanılan bir yazılım geliştirme platformu olan Retool’u hedef aldı.
- Bilgisayar korsanları, çalışanları kimlik bilgilerinden vazgeçmeleri için kandırmak amacıyla kimlik avı, sosyal mühendislik ve deepfake yöntemlerinin bir kombinasyonunu kullandı.
- Mesajlar, alıcılara bazı maaş bordrosu ve açık kayıt sorunlarını çözmek için meşru görünen bir bağlantıya erişmeleri talimatını veriyordu.
- Saldırı, 15 milyon dolar değerindeki müşteri fonunun çalınmasıyla sonuçlandı.
- Google, güvenlik açığını gidermek için Google Authenticator’ı güncelledi.
Yakın zamanda yaşanan bir olayda, kripto para saklayıcısı Fortress Trust 15 milyon dolar değerinde müşteri fonunu kaybetti bir hırsızlıkta Bunun izi üçüncü taraf bir satıcı olan Retool’a yapılan kimlik avı saldırısına kadar uzanıyor.
Retool, Amazon, DoorDash, Unity, NBC, Mercedes-Benz, Volvo, Lyft ve Peloton dahil olmak üzere birçok Fortune 500 şirketi tarafından kullanılan bir yazılım geliştirme platformudur.
Saldırganlar Retool çalışanlarını hedef aldı SMS tabanlı kimlik avı mesajları bu söz şirketin BT ekibinin bir üyesinden geliyor gibi görünüyordu. Mesajlar, alıcılara bazı maaş bordrosu ve açık kayıt sorunlarını çözmek için meşru görünen bir bağlantıya erişmeleri talimatını veriyordu. Bir çalışan saldırıya uğradı ve kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) verilerini teslim etti.
Bu saldırıyı farklı kılan şey şuydu: Bilgisayar korsanlarının deepfake teknolojisini kullanması takip eden telefon görüşmesi sırasında bir çalışanın sesini taklit etmek. Bu inandırıcı taklit, çalışanın yanlışlıkla saldırgana ek bir MFA kodu sağlamasına yol açtı. Bu kodla donanmış olan bilgisayar korsanı, çalışanın Okta hesabına erişim sağlayarak kendi cihazını bu hesaba eklemesine olanak tanıdı.
Bu olayda istismar edilen kritik güvenlik açığı, çok faktörlü kimlik doğrulama için yaygın olarak kullanılan bir araç olan Google Authenticator ile ilgiliydi. Yakın zamanda yapılan bir Google güncellemesi, MFA kodlarını bulutla senkronize eden bir özellik sundu. Bir saldırgan, bir kullanıcının Google hesabını ele geçirirse, tüm MFA kodlarını ele geçirebilir, bu da aslında çok faktörlü kimlik doğrulaması olması gereken şeyi tek faktörlü kimlik doğrulamasına dönüştürebilir.
Yeniden Düzenleme Hayal kırıklığını ifade etti Bu özelliği devre dışı bırakmak için net bir seçeneğin bulunmamasından dolayı bu özelliğin yeni bir saldırı vektörü haline geldiğini belirtti. Bilgisayar korsanlarının kimliği belirsizliğini korurken, saldırı, 0ktapus, Scattered Spider ve UNC3944 olarak bilinen mali amaçlı tehdit grubuna atfedilen önceki faaliyetlerle benzerlikler taşıyor.
Sosyal mühendislik için artan deepfake tehdidi nedeniyle, ABD’deki CISA, FBI ve NSA ajansları yayınlanan (PDF) iş e-postası saldırıları ve kripto para birimi dolandırıcılıkları da dahil olmak üzere çeşitli kötü amaçlı faaliyetlerde giderek artan deepfake teknolojisi tehdidini vurgulayan bir siber güvenlik raporu.
Bu riskleri azaltmak için kripto para şirketlerinin çok faktörlü kimlik doğrulama ve düzenli güvenlik denetimleri gibi güçlü güvenlik önlemleri alması gerekiyor. Ayrıca hangi konuda dikkatli olmaları gerekir üçüncü taraf satıcılar onlar kullanırlar.