Bitwarden’in parola yönetimi teknolojisinin birkaç kullanıcısı geçen hafta, satıcının resmi Web kasası giriş sayfasını aramak için Google’ı kullandıklarında, kimlik bilgilerini çalan kimlik avı sitelerinde ücretli reklamlar gördüklerini bildirdi.
Google, sorunun ele alınmasının en önemli öncelik olduğunu söylüyor.
Bitwarden’in topluluk forumunda ve Reddit’te sorunla ilgili gönderiler, satıcının şunları yapmasını istedi: kullanıcılarını uyarmak tehdit hakkında bilgi verin ve onları Web kasası için doğru URL’ye yer işareti koymaya teşvik edin.
Bitwarden resmi bir tweet’te “Bazen bir arama motoru kullanırsanız sahtekarlar dikkatinizi çekmeye çalışır. Güvende kalın,” dedi.
Password Vault Kimlik Avı: Büyüyen Bir Tehdit
Satıcının uyarısı, geçen hafta 1Password’den gelen bir uyarıyı tekrarladı. aynı tehdide başvurdu şirketin şifre yöneticisinin kullanıcılarına. Satıcı, “Bazı web sitelerinin 1Password gibi göründüğünü fark ettik” dedi. “Herhangi bir bağlantının sizi web sitemize yönlendirdiğinden emin olun.”
Bitwarden ve 1Password kullanıcılarını hedef alan kötü amaçlı reklamlar, şifre yöneticilerine yönelik son zamanlarda yapılan bir dizi saldırıyı sürdürüyor. Örneğin, Aralık ayında, bu alandaki en büyük sağlayıcılardan biri olan LastPass, saldırganların kullanıcı adları, parolalar ve formla doldurulmuş veriler dahil olmak üzere müşteri kasası verilerinin yedek bir kopyasına eriştiği bir ihlali açıkladı. Aralık saldırısı, tehdit aktörlerinin şirketin kaynak koduna erişim kazandığı geçen Ağustos saldırısını takip etti. Ocak ayında ortaya çıkan başka bir olayda, saldırganlar Norton LifeLock’taki sistemlere girdi ve Norton Password Manager’da saklanan parolaları içerebilecek müşteri bilgilerine erişti.
Google Reklamları: Yeni Bir Taktik
Bitwarden ve 1Password müşterilerini hedef alan kötü amaçlı reklamlar, tehdit aktörlerinin parola yöneticilerine girmek ve bu parolalarla ilişkili hesapları ele geçirmek için başka bir taktik eklediklerini gösteriyor.
Bitwarden ve 1Password kullanıcılarının geçen hafta bildirdiği kötü amaçlı reklamlar, kullanıcılar örneğin “bitwarden password manager” veya 1Password’ün Web kasası için arama yaptıklarında Google’ın arama motoru sonuçlarının üst sıralarında ortaya çıktı. Ve açılış sayfaları yüksek kalitede: Bir Bitwarden kullanıcısı, satıcının resmi Web kasasını o kadar iyi taklit eden bir kimlik avı web sitesi bulduğunu bildirdi ki aradaki farkı anlamak zordu.
Kullanıcı, Bitwarden’in topluluk forumunda “Kimlik avı sayfası, yasal görünmesi için bir SSL sertifikası ve benzer görünen alan adıyla birlikte kasa giriş sayfasına çok benziyor” dedi. “Umarım Bitwarden, birisinin hesabı ele geçirilmeden önce bu etki alanını kaldırabilir.”
Bitwarden’in subreddit sayfasındaki başka bir kullanıcı, Bitwarden’in resmi Web kasası sayfasını kimlik avı sayfasıyla karşılaştıran bir ekran görüntüsü yayınladı. Kullanıcı, kimlik avı sayfasının orijinaliyle karşılaştırıldığında ne kadar aynı göründüğüne atıfta bulunarak, “Kahretsin. Bu gibi durumlarda sahte olanı nasıl tespit edebilirim? Bu gerçekten korkutucu” diye yakındı.
Artan Kötü Amaçlı Reklam Tehdidi
Parola yöneticilerinin kullanıcılarını hedefleyen ücretli Google Reklamları, birçok kişinin tanımladığı, Google arama sonuçlarında ve Web’in başka yerlerinde büyüyen kötü amaçlı reklamlar sorununun da altını çizdi. Geçen Ekim ayında CrowdStrike, bir tehdit aktörünün dijital reklamlara kötü amaçlı kod enjekte ettiği ve daha sonra yasal reklam ağları aracılığıyla çevrimiçi kullanıcılara sunulduğu nispeten yeni bir saldırı kötü amaçlı reklamcılık tekniğini açıkladı.
Saldırganlar, kimlik bilgilerini ve diğer hassas verileri çalmak için çok çeşitli kötü amaçlı yazılımlar veya kötü amaçlı yazılımlarla dolu web sitelerine veya kimlik avı sitelerine bağlantılar sağlamak için vektörü kullanıyor. Daha yakın zamanlarda, yaygın olarak kullanılan ve popüler markaları taklit etmek için bu tür reklamları kullanmaya başladılar. Son örnekler, OBS canlı yayın yazılımı, Bender3D yazılımı, VirtualBox, Ccleaner ve WinRAR’ı taklit eden reklamları içerir. Ocak ayında yaygın olarak alıntılanan bir örnekte, NFT God takma adını kullanan bir NFT etkileyicisi tüm kripto para birimini ve dijital varlıklarını kaybettiğini bildirdi bir tehdit aktörü, OBS için bubi tuzaklı bir Google Reklamı aracılığıyla hesaplarına erişim sağladıktan sonra.
Büyüyen tehdide ilişkin endişeler, FBI’ı geçen Aralık ayında arama sonuçlarında reklamlar kullanarak markaları taklit eden tehdit aktörleri hakkında bir danışma belgesi yayınlamaya sevk etti.
Dark Reading’e e-postayla gönderilen bir açıklamada, bir Google sözcüsü sorunun büyüyen doğasını kabul etti ve şirketin şu anda en önemli önceliklerinden birinin sorunu çözmek olduğunu söyledi. Bildiride, “Kötü aktörler, kimliklerini gizlemek ve politikalarımızdan ve uygulamalarımızdan kaçmak için genellikle karmaşık önlemler kullanır.”
Bununla mücadele etmek için Google, yeni sertifika politikaları ve reklamveren doğrulama süreçleri başlattı. Sözcü, şirketin koordineli kötü amaçlı reklamcılık dolandırıcılıklarını tespit etme ve önleme yeteneğini de güçlendirdiğini söyledi.
Bu tür çabalar, Google’ın 2021’de 3,4 milyar reklamı kaldırmasına ve yaklaşık 5,7 milyar reklamı kısıtlamasına neden oldu. Şirket ayrıca aynı yıl yaklaşık 5,6 milyon reklamveren hesabını askıya aldı. Aynı zamanda, kötü amaçlı reklamcılık etrafındaki tehdit aktörü operasyonlarının artan karmaşıklığı ve ölçeği, sorunu kontrol altına almayı şirket için bir zorluk haline getirdi.
Sözcü, “Kötü amaçlı yazılım kampanyalarındaki son artışın farkındayız. Bunu ele almak kritik bir öncelik ve bu olayları olabildiğince çabuk çözmek için çalışıyoruz” dedi.