Araştırmacılarımız, Google sponsorlu reklam kampanyalarını kullanarak şifrenizin peşine düşmenin daha doğrudan bir yolunu buldular.
Yakın zamanda, insanları aradıkları yazılım yerine kötü amaçlı yazılım indirmeleri için kandırmaya çalışan Google ücretli reklamlarından yararlanan kötü amaçlı reklam kampanyaları hakkında yazdık. Bu kötü amaçlı yazılım daha sonra etkilenen sistemden oturum açma kimlik bilgilerini çaldı.
Artık araştırmacılarımız, Google Reklamları aracılığıyla yürütülen kötü amaçlı reklam kampanyalarının yalnızca yazılım indirmeleri ve dolandırıcılıklarla ilgili olmadığını keşfetti. Ayrıca, 1Password gibi popüler parola yöneticilerinin kullanıcıları için kimlik avı yaparak oturum açma kimlik bilgilerinize ulaşmanın çok daha doğrudan bir yolunu içerirler.
Aşağıda bulduklarımızın bir ekran görüntüsü var:
“1password” araması yaparken en iyi sonuçlar olarak iki farklı sponsorlu reklam gördük. İlki meşru etki alanı 1password’e götürür[.]com, ancak ikincisi start1password’ü işaret ediyor[.]com. Her ikisi de 1Password için olduğunu iddia ediyor ve her ikisi de https sitesi. Bu da markaya aşina olmayan birinin hangisini takip edeceğine karar vermesini çok zorlaştırıyor.
Arama sonuçlarındaki aşağıdaki sıralama, “Reklam Sıralaması” adı verilen bir metriğe dayalıdır.
Google diyor ki (vurgu benim tarafımdan):
“Reklam Sıralaması, reklamların bir sayfada diğer reklamlara göre nerede gösterileceğini ve reklamlarınızın hiç gösterilip gösterilmeyeceğini belirlemek için kullanılan bir değerdir. Reklamınız gösterilmeye her uygun olduğunda, Reklam Sıralamanız yeniden hesaplanır. Bir müzayedede yarışıyor ve bu, rekabetinize, kişinin arama bağlamına ve o andaki reklam kalitenize bağlı olarak her seferinde değişmesine neden olabilir.”
En iyi sonucu elde etmenin her zaman doğru sonuca ulaşmak için kesin bir yol olmadığını belirtmek için.
Sonraki aşama
Peki sahte URL bizi nereye götürüyor? Çok ikna edici bir kimlik avı sitesine. Aşağıda iki giriş formu arasında bir karşılaştırma yayınladık.
Farklılıklar o kadar ince ki çoğu insan buna kanacak. Tek gerçek fark, meşru bağlantıyı takip etmenin sizi aynı etki alanında tutmasıdır çünkü bu, my.1password’e gider.[.]com ve kimlik avı bağlantısı sizi my1password’e götürecektir.[.]com, burada eksik nokta URL’lerdeki tek gerçek farktır.
Gizli anahtar
Asıl fark, kimlik avı sitelerinin her zaman gizli anahtarınızı istemek zorunda kalacak olmasıdır, çünkü peşinde oldukları şey budur. Meşru 1Password, onu tarayıcınızın veritabanından alabilecek ve yalnızca silinmiş olup olmadığını veya 1Password’ü yeni bir cihazda veya yeni bir tarayıcıda kullanıp kullanmadığınızı sorabilecektir. Parola yöneticisini uzun bir süre kullanmadıysanız veya tarayıcınızın önbelleğini temizlediyseniz, gizli anahtarın silinmesi gerçekleşebilir. Bu durumda onu geri almanız gerekecek.
Bu nedenle, herhangi bir saldırgan yalnızca e-posta adresiniz ve şifrenizle yetinmeyecektir. Gizli anahtara da ihtiyaçları olacak. Ancak bununla, kasanızdaki tüm oturum açma kimlik bilgilerine erişimleri olur.
Bu özel örnekte kullanılan siteler çevrimdışı duruma getirilmiş olsa da, her zaman yeni girişimlerde bulunma tehlikesi vardır, bu yüzden dikkatli olun. Parola yöneticinizin gizli anahtarını herhangi bir kimlik hırsızına vermeyin.
Gerçek URL’ler:
https://benim[.]1password.com/signin
https://www[.]1şifre.com
Kimlik avı URL’leri:
https://my1şifrem[.]com/oturum açma
https://www[.]start1password.com
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.